国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁(yè) > 學(xué)院 > 網(wǎng)絡(luò)通信 > 正文

網(wǎng)絡(luò)防火墻與防范溢出策略(解決方案)

2020-04-18 12:57:55
字體:
來(lái)源:轉(zhuǎn)載
供稿:網(wǎng)友

“溢出”一直以來(lái)都是很多黑帽子黑客最常用(或者說(shuō)是最喜歡用)的手段之一,隨安全文化的逐步普及,大量的公開shellcode(“溢出”代碼)與溢出攻擊原理都可以隨意在各大的網(wǎng)絡(luò)安全網(wǎng)站中找得到,由此衍生了一系列的安全隱患...小黑黑使用它們來(lái)進(jìn)行非法的攻擊、惡意程序員使用它們來(lái)制造蠕蟲等等...而網(wǎng)絡(luò)_blank">防火墻作為人們最喜歡的網(wǎng)絡(luò)安全“設(shè)施”之一,它又能如何“攔截”這一類型的攻擊呢?這就是今天小神與大伙一起討論的問(wèn)題了。

寫這篇爛文時(shí)小神粗略地翻了一下CIW SP的教科書,5、6章節(jié)詳細(xì)的介紹了_blank">防火墻的種類、作用、優(yōu)略點(diǎn)等,但沒(méi)有提出關(guān)于使用_blank">防火墻來(lái)進(jìn)行溢出防御的文章,這是為什么呢?大概是因?yàn)檫@樣吧:目前大多的防火墻系統(tǒng)都是針對(duì)包過(guò)濾規(guī)則進(jìn)行安全防御的,這類型的_blank">防火墻再高也只能工作在傳輸層,而溢出程序的she llcode是放在應(yīng)用層的,因此對(duì)這類攻擊就無(wú)能為力了。打個(gè)比方:前段時(shí)間比較火熱的IIS WEBDAV溢出漏洞,若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺(tái)),它是在正常提供HTTP服務(wù)的情況下產(chǎn)生的溢出漏洞,若在不打補(bǔ)丁與手工處理的情況下一臺(tái)_blank">防火墻又能做到什么呢?相信你除了把訪問(wèn)該服務(wù)器TCP80端口(提供正常地HTTP服務(wù)的情況下)的包過(guò)濾掉以外就什么都不會(huì)去做了,當(dāng)然,這樣也會(huì)使你的HTTP服務(wù)無(wú)法正常地開放(等于沒(méi)有提供服務(wù)...)。下面就讓小神以這個(gè)漏洞為“論點(diǎn)&&題材”,說(shuō)說(shuō)自己的解決方案吧。

1)對(duì)希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開放端口”訪問(wèn)控制策略所謂“單獨(dú)開放端口”就是指只開放需要提供的端口,對(duì)于不需要提供服務(wù)的端口實(shí)行過(guò)濾策略。打個(gè)比方,現(xiàn)在我們需要保護(hù)一臺(tái)存在WebDAV缺陷的WEB服務(wù)器,如何能令它不被駭客入侵呢?答案是:在這臺(tái)WEB服務(wù)器的前端_blank">防火墻中加入一個(gè)“只允許其他機(jī)器訪問(wèn)此機(jī)的TCP80端口”的包過(guò)濾規(guī)則(至于閣下的_blank">防火墻能否

實(shí)現(xiàn)這樣的規(guī)則就另當(dāng)別論了)。加上這個(gè)規(guī)則又會(huì)有怎樣的效果呢?經(jīng)常做入侵滲透測(cè)試的朋友應(yīng)該比我還清楚遠(yuǎn)程溢出的攻擊實(shí)施流程了吧?

①使用缺陷掃描器找到存在遠(yuǎn)程溢出漏洞的主機(jī)-》②確認(rèn)其版本號(hào)(如果有需要的話)-》③使用exploit(攻擊程序)發(fā)送shellcode-》④確認(rèn)遠(yuǎn)程溢出成功后使用NC或TELNET等程序連接被溢出主機(jī)的端口-》⑤得到SHELL

使用“單獨(dú)開放端口”策略的解決方案對(duì)整個(gè)遠(yuǎn)程溢出過(guò)程所發(fā)生的前三步都是無(wú)能為力的,但來(lái)到第四步這個(gè)策略能有效地阻止駭客連上有缺陷主機(jī)的被溢出端口,從而切斷了駭客的惡意攻擊手段。

優(yōu)點(diǎn):操作簡(jiǎn)單,一般的網(wǎng)絡(luò)/系統(tǒng)管理員就能完成相關(guān)的操作。

缺點(diǎn):對(duì)溢出后使用端口復(fù)用進(jìn)行控制的EXPLOITS就無(wú)能為力了;對(duì)現(xiàn)實(shí)中的溢出后得到反向連接控制的EP LOITS也是無(wú)能為力;不能阻止D.o.S方面的溢出攻擊。

2)使用應(yīng)用層_blank">防火墻系統(tǒng)

這里所謂的應(yīng)用層并不是想特別指明該_blank">防火墻工作在應(yīng)用層,而是想指明它能在應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行處理。由于應(yīng)用層的協(xié)議/服務(wù)種類比較多,因此針對(duì)應(yīng)用層形式的_blank">防火墻就有一定的市場(chǎng)局限性了。就樓上所提到的案例而言我們可以使用處理HTTP協(xié)議的應(yīng)用層_blank">防火墻對(duì)存在WebDAV缺陷的服務(wù)器訂制保護(hù)規(guī)則,保證服務(wù)器不收此類攻擊的影響。應(yīng)用層中的HTTP協(xié)議_blank">防火墻系統(tǒng)不多,其中比較出名的有EEYE公司的SecureIIS,其使用方式就可謂是“弱智型”了,說(shuō)說(shuō)它的基本防御原理與特點(diǎn)吧。當(dāng)服務(wù)端接受到一個(gè)發(fā)送至TCP80端口的數(shù)據(jù)包時(shí)首先就會(huì)將該包轉(zhuǎn)移至SecureIIS,SecureIIS就會(huì)對(duì)該包進(jìn)行分析并解碼該包的應(yīng)用層數(shù)據(jù),將得到的數(shù)據(jù)與你本身定制的規(guī)則進(jìn)行數(shù)據(jù)配對(duì),一旦發(fā)現(xiàn)條件相符餓數(shù)值就會(huì)執(zhí)行規(guī)則所指定的相應(yīng)操作。

優(yōu)點(diǎn):能有效地切斷一些來(lái)自應(yīng)用層的攻擊(如溢出、SQL注入等)。

缺點(diǎn):因?yàn)樾枰惭b在服務(wù)器上,所以會(huì)占用一定的系統(tǒng)資源;(eeye公司本身并無(wú)開發(fā)該軟件的中文版本,所以一旦它受到POST行為發(fā)出的中文數(shù)據(jù)時(shí)就會(huì)自動(dòng)認(rèn)為是高位攻擊代碼,自動(dòng)將其隔離,并進(jìn)行相關(guān)的處理操作)。

樓上的兩種解決方法我比較推崇第二種,但其實(shí)還是有第三種解決方案的(大家不要或我為某產(chǎn)品賣廣

告就好:)。

3)使用IDS功能的_blank">防火墻系統(tǒng)

現(xiàn)在國(guó)內(nèi)自主開發(fā)的_blank">防火墻系統(tǒng)可謂是進(jìn)入“白熱化”了,什么百兆、千兆、2U、4U...性能參數(shù)的比較本已經(jīng)日趨激烈了,再開始有不少?gòu)S商將技術(shù)重點(diǎn)轉(zhuǎn)移在了“多功能”的方面上,在_blank">防火墻中繼承IDS模塊已經(jīng)不是什么新鮮事了,使用這類產(chǎn)品可以達(dá)到監(jiān)控應(yīng)用層數(shù)據(jù)的效果。

優(yōu)點(diǎn):便于管理。

缺點(diǎn):費(fèi)用支出增大;長(zhǎng)期需要人力資源對(duì)其進(jìn)行管理與設(shè)施維護(hù);_blank">防火墻上的IDS模塊功能有限。

綜合以上三種解決方案,希望有一種能為閣下提供反思的空間,也希望各位能為提出相應(yīng)的建議與意

見,謝謝各位,需要與我聯(lián)系請(qǐng)EMAIL至demonalex[at]demonalex.net。

發(fā)表評(píng)論 共有條評(píng)論
用戶名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 阳谷县| 方城县| 平阳县| 金川县| 勃利县| 伊吾县| 盐山县| 嘉黎县| 肇源县| 元江| 阜南县| 昭苏县| 正镶白旗| 荔波县| 皋兰县| 弥勒县| 云浮市| 绥阳县| 江都市| 突泉县| 华亭县| 乡城县| 廊坊市| 鄄城县| 中卫市| 衢州市| 永年县| 文成县| 宣城市| 建德市| 喜德县| 五华县| 德格县| 镇平县| 红原县| 高邑县| 天等县| 津南区| 沂源县| 北碚区| 苗栗市|