“溢出”
直以来都是很多黑帽子黑客最常用(或者说是最喜欢用)
手段的
随安全文化逐步普及大量公开shellcode(“溢出”代码)和溢出攻击原理都可以随意在各大网络安全网站WebSite中找得到由此衍生了系列安全隐患...小黑黑使用它们来进行非法攻击、恶意
员使用它们来制造蠕虫等等...而网络防火墙作为人们最喜欢网络安全“设施”的它又能如何“拦截”这类型攻击呢? 目前大多
防火墙系统都是针对包过滤规则进行安全防御这类型防火墙再高也只能工作在传输层而溢出shellcode是放在应用层因此对这类攻击就无能为力了
打个比方:前段时间比较火热IIS WEBDAV溢出漏洞若黑客攻击成功能直接得到ROOTSHELL(命令行管理员控制台)它是在正常提供HTTP服务情况下产生溢出漏洞若在不打补丁和手工处理情况下台防火墙又能做到什么呢?相信你除了把访问该服务器TCP80端口(提供正常地HTTP服务情况下)包过滤掉以外就什么都不会去做了当然这样也会使你HTTP服务无法正常地开放(等于没有提供服务)下面就以这个漏洞为“论点&题材”说说自己解决方案 1)对希望保护
主机实行“单独开放端口”访问控制策略 所谓“单独开放端口”就是指只开放需要提供
端口对于不需要提供服务端口实行过滤策略打个比方现在我们需要保护台存在WebDAV缺陷WEB服务器如何能令它不被骇客入侵呢?答案是:在这台WEB服务器前端防火墙中加入个“只允许其他机器访问此机TCP80端口”包过滤规则(至于阁下防火墙能否实现这样规则就另当别论了)加上这个规则又会有怎样效果呢?经常做入侵渗透测试朋友应该比我还清楚远程溢出攻击实施流程了吧? ①使用缺陷扫描器找到存在远程溢出漏洞
主机-
②确认其版本号(如果有需要话)-③使用exploit(攻击)发送shellcode-④确认远程溢出成功后使用NC或TELNET等连接被溢出主机端口-⑤得到SHELL使用“单独开放端口”策略
解决方案对整个远程溢出过程所发生前 3步都是无能为力但来到第 4步这个策略能有效地阻止骇客连上有缺陷主机被溢出端口从而切断了骇客恶意攻击手段 优点:操作简单
般网络/系统管理员就能完成相关操作 缺点:对溢出后使用端口复用进行控制
EXPLOITS就无能为力了;对现实中溢出后得到反向连接控制EPLOITS也是无能为力;不能阻止D.o.S方面溢出攻击 2)使用应用层防火墙系统
这里所谓
应用层并不是想特别指明该防火墙工作在应用层而是想指明它能在应用层对数据进行处理由于应用层协议/服务种类比较多因此针对应用层形式防火墙就有定市场局限性了就楼上所提到案例而言我们可以使用处理HTTP协议应用层防火墙对存在WebDAV缺陷服务器订制保护规则保证服务器不收此类攻击影响应用层中HTTP协议防火墙系统不多它基本防御原理和特点是当服务端接受到个发送至TCP80端口数据包时首先就会将该包转移至SecureIISSecureIIS就会对该包进行分析并解码该包应用层数据将得到数据和你本身定制规则进行数据配对旦发现条件相符饿数值就会执行规则所指定相应操作 优点:能有效地切断
些来自应用层攻击(如溢出、SQL注入等) 缺点:
需要安装在服务器上所以会占用定系统资源;(旦它受到POST行为发出中文数据时就会自动认为是高位攻击代码自动将其隔离并进行相关处理操作) 3)使用IDS功能
防火墙系统 现在国内自主开发
防火墙系统可谓是进入“白热化”了什么百兆、千兆、2U、4U...性能参数比较本已经日趋激烈了再开始有不少厂商将技术重点转移在了“多功能”方面上在防火墙中继承IDS模块已经不是什么新鲜事了使用这类产品可以达到监控应用层数据效果 优点:便于管理
缺点:费用支出增大;长期需要人力资源对其进行管理和设施维护;防火墙上
IDS模块功能有限 篇文章: SQL log备份上WEBSHELL整理总结篇文章: 没有了
最新评论