破防火墙

一、堡垒往往是从内部被攻破的

堡垒往往是从内部被攻破的，这话一点都不假。远在古希腊时代，坚固的城墙没有保护住特洛伊人的家园，被一个小小的木马所攻破，在今天这个道理依然应验。

1.用黑毒克星或NoSkyNet

目前的防火墙可谓树大招风，防火墙也逐渐成为了黑客们攻击的主要对象！针对它的黑客工具也层出不穷，黑毒克星和NoSkyNet就是其中之一。这两个软件共同的特点之一就是小巧隐蔽，另一个特点就是它们将防火墙破坏殆尽后，居然还能让防火墙在任务栏正常显示图标！具有极大的危害性和欺骗性。

虽然黑毒克星和NoSkyNet必须被运行它们才有机会破坏防火墙，但百密难免一疏，对于仅几k大小的黑毒克星、NoSkyNet，真的很难保证不会中招（黑客们当然不会那么傻，他们会把黑毒克星、NoSkyNet改名，如改为系统优化或微软补丁之类的名称，这样如果你运行了这些“优化补丁”，你的防火墙就完了！），对付它们只能自己小心了。

2.用黑洞2001

黑洞2001是个木马程序，具有出色的多进程监控功能。随着大家安全意识的不断提高，大多数人都安装了网络防火墙，木马们的生存空间越来越小，为生存计，木马开发者想出了一个办法，他让木马服务端定时刷新进程，如果发现其中的进程名称与其事先定义好的相符合，就将这个进程关闭，如果这个被关闭的进程恰巧就是防火墙，那你的网络大门就完全敞开了，监控端就可为所欲为了。

事实上这个功能就是针对防火墙出现的，一切堡垒都是从内部被攻破的在此得到了充分的体现。其实在黑洞2000中就有了这样的功能，只不过黑洞2000只能关闭防火墙，对其它防火墙没有任何作用。黑洞2001则可以定义长达99个英文字符号，完全可以将您可能会用到的防火墙都定义到其中，从而可将这些防火墙全部关闭！
对于黑洞2001的多进程监控功能，让我们作一个小测试。首先，在客户端作配置。点击“修改远程服务器端设置”按钮，再点击其中的“智能监控”标签。
在“进程监控”栏中添入“墙，毒，LOCK”，选中“使用进程监控”，然后点击“修改配置”保存设置。在服务端运行防火墙、金山毒霸、Lockdown、PC-Cillin等软件，一分钟后这些软件被自动关闭！由上可以看出如果你中了黑洞2001，那么你的防火墙就全成了聋子的耳朵——摆设！

3.利用“反弹端口”型木马

国内第一个“反弹端口”型木马“网络神偷”就可以突破防火墙防线，使防火墙失效。“正常”木马是由客户端主动连接服务端的，通俗的说就是下木马方要主动连接中木马的机子，这样很容易让防火墙发现；而反弹端口型木马与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的IP地址:1026客户端的IP地址:80ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。（防火墙也会这么认为的，我想大概没有哪个防火墙会不给用户向外连接80端口吧）。因此这类木马可以突破几乎所有的防火墙（包括代理防火墙及过滤型防火墙）！
在我用“网络神偷”试验过程中，在防火墙设置成默认规则的情况下，服务端连接成功并进行文件访问，服务端主机上的防火墙毫无反应！防火墙就这样被突破了！“反弹端口”型木马由于是由服务端主动连接客户端的，所以防火墙规则里的“禁止所有人连接”对它是一点用也没有，只要“允许FTP的数据通道”开启和“TCP数据包监视”关闭（默认设置正是这样），防火墙就不会有任何反应的，这可比黑洞等木马一上来就关闭防火墙要危险多了！

注：由于网络神偷使用了VxD技术，因此该软件无法在Windows2000/NT下使用，非Windows2000/NT下的朋友就要小心它了！

二、强攻也可突破防火墙的保护

其实，只要能够加以注意，或不是那么“菜”的话，那么上面所说的从内部攻破的方法就会失效(可惜许多人就是不够小心)，此时就只有强攻这一条路了。虽然防火墙对各类IP炸弹的攻击保护等不错，但仍有空子可钻，有四种方法攻破它，请看：

1.使装防火墙的系统死机的简单方法

推荐工具：PortScan和IGMPNuke

(1)得到对方的IP
要查对方IP最简单的方法是打开网络防火墙，如防火墙，然后点击“安全规则设置”，在弹出的对话框中把“UDP数据包监视”前面的多选框内打上“√”，然后保存设置。现在，在QQ中给那个人发个消息，再来点击防火墙中的“日志”按钮，从中你就会发现对方的IP。有了IP，他想跑可就难了，哈哈。

(2)开始攻击
打开两个或两个以上PortScan，在“Scan:”栏中填入对方的IP，在“SendPort:”栏中填入1，在“StopPort:”栏中填入65536，这样就配置完毕，可以攻击了！现在按“START”按钮，然后你就可以忙你的别的事吧！扫描的事教给PortScan就可以了。

(3)攻击原理
防火墙有个习惯，它对任何外来的不明数据包都会拦截，当一个时间段内有大量的“各种不同类型的”数据包涌过来，防火墙会对之进行一一拦截，还要分析和解析这是什么数据包，一秒钟要解析几十次以上，由于数据包太多，会造成系统的资源逐渐耗掉，对方机子上的应用程序会越来越慢，最终……呵呵！由于PortScan占用系统资源不多，因此本机的速度不会变慢多少
4)攻击深入
如果该用户发现是由于防火墙的过多拦截才造成死机，那他就会关闭防火墙。此时IGMPNuke就会发挥作用了：你可以每隔一段时间就对着目标IP运行一下IGMPNuke，用默认设置就可以。结果，没有了防火墙的对方当然是蓝屏啦！真是有天网也烦，没防火墙也烦呀！

(5)攻击时自身防范
本方法有一个缺点，就是对方能知道你的IP(防火墙中会记录下来的)，因此你最好能使用代理服务器免得暴露自己。

2.利用防火墙小BUG

防火墙有个小BUG（也许不能算作BUG），它只能记录6万多条攻击记录。那如果有多出来的的记录会怎么样呢？这正是攻击者经常利用的一点。攻击者使用ICMP或IGMP包进行攻击，当攻击6万多次以后，防火墙就会不断弹出错误对话框，直到耗尽内存而当机！尽管手段不够漂亮，但的确使装有防火墙的主机死机了！简单实用就是这个方法的最大特点！

3.不断发送二进制的0字节流到

不停地发送二进制的0字节流到装有防火墙主机的特定端口（用TCP或UDP都可以），使装防火墙的主机当机。简单的测试方法如下：在Linux中通过netcat输入/dev/zero内容，命令如下：

TCP的测试命令为:nc目标主机端口</dev/zero
举例：nc127.0.0.17</dev/zero其中“127.0.0.1”为装有防火墙主机的IP，“7”为目标主机端口。

UDP的测试命令为：nc-u目标主机端口</dev/zero
举例：nc-u127.0.0.153</dev/zero其中“127.0.0.1”为装有防火墙主机的IP，“53”为目标主机端口。

TCPports：7921237778等都是TCP端口。
UDPports：5367681351375001812181325353456等都是UDP端口。

注意自己在网上的言语，尽量不得罪人，真正的黑客是不会无缘无故的攻击你的。只有那些“灰”客才乱攻击，对付他们请用方法。本文的目的是希望大家不要太迷信防火墙，注意提高自身素质，加强自己的网络安全意识。

上一页  [1] [2] [3] [4] 下一页