摘要：本文闡述了Internet發(fā)展的同時，計算機用戶的信息安全也不斷受到了新的威脅；揭示了無保護措施的Internet連接可能面對的威脅；討論了網(wǎng)絡(luò)防火墻的保護功能；指出可以利用防火墻阻止有害的通信，并可以利用日志來跟蹤被拒絕的連接，從而對黑客的攻擊進行反擊。

關(guān)鍵詞：黑客攻擊；防火墻；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)14-20846-02

1 引言

如今，幾乎每臺個人計算機都直接或間接地連接到了Internet上，從而在惡意的黑客面前出現(xiàn)了許多的攻擊目標。在無所不在的互聯(lián)網(wǎng)出現(xiàn)之前，像病毒之類的惡意軟件主要是通過用戶之間共享被感染的軟件來傳播，而造成的危害也只限于使用被感染的文件的計算機。為有效的防止來自局域網(wǎng)外的惡意入侵者的攻擊，需要使用網(wǎng)絡(luò)防火墻。

本文將從以下的闡述中， 揭示無保護措施的Internet連接可能面對的威脅，討論網(wǎng)絡(luò)防火墻的保護功能， 指出可以利用防火墻阻止有害的通信，并可以利用日志來跟蹤被拒絕的連接，從而對黑客的攻擊進行反擊。

2 網(wǎng)絡(luò)黑客的攻擊原理

網(wǎng)絡(luò)黑客的許多攻擊手段都是利用了服務(wù)器應(yīng)用程序、客戶端應(yīng)用程序或操作系統(tǒng)的軟件bug。絕大多數(shù)應(yīng)用程序也都有bug。

絕大多數(shù)與bug相關(guān)的安全漏洞都是緩沖區(qū)溢出而造成的。當(dāng)黑客向某個特定的輸入字段發(fā)送的數(shù)據(jù)比程序所分配的空間大時，就會發(fā)生緩沖區(qū)溢出。例如，某個程序被設(shè)置成接收一個不超過256個字符長的URL。如果黑客發(fā)現(xiàn)了如何發(fā)送一個400個字符的“URL”，那么多余的字符可能會傳入一段內(nèi)存區(qū)域，而該程序會把這些多余的字符解釋為需要執(zhí)行的指令。黑客們通過檢查程序代碼（許多程序的源代碼都是很容易得到的）來發(fā)現(xiàn)這種類型的漏洞，也可以簡單地對程序接收輸入的任何地方嘗試溢出攻擊。如果某次溢出導(dǎo)致程序崩潰，黑客也許就能夠編寫指令來完成其需要的操作，而不僅僅滿足于使程序崩潰。一旦這類攻擊成功，那么黑客就可以運行本地系統(tǒng)中的代碼。

另外一種軟件bug可能提供了無效輸入的黑客進入程序內(nèi)部。有的程序可以正確處理有效輸入，但是遇到超出范圍的輸入是就會產(chǎn)生為題。黑客能夠以類似于緩沖區(qū)溢出攻擊的方式來利用這些bug。

但是，攻擊者并不單純依靠程序中的bug來進入Internet連接系統(tǒng)。沒有安全配置的系統(tǒng)也很容易被攻破。作為文件服務(wù)器的系統(tǒng)可以對外暴露共享文件夾；其它類型的服務(wù)器也允許計算機訪問（許多特洛伊木馬程序都對攻擊者可以連接到的服務(wù)器進行設(shè)置，以此來獲得訪問權(quán)）。攻擊者常用的工具是端口掃描器——這種自動化的程序可以循環(huán)掃描數(shù)千個IP地址/端口組合來發(fā)現(xiàn)開放的端口（開放的端口指的是監(jiān)聽連接請求的端口）。

如果安全防護措施被禁用，這樣的系統(tǒng)也可能會被攻擊者利用。例如，在試圖解決連接故障問題時，我們可能會把所有的限制去除，如NTFS權(quán)限、防火墻保護等。如果在解決問題后，忘記了恢復(fù)安全設(shè)置，那么攻擊者就會發(fā)現(xiàn)這一隱患，實施攻擊。

網(wǎng)絡(luò)黑客的另一種攻擊手段是拒絕服務(wù)攻擊（Denial of Service， DoS），攻擊者試圖用大量的數(shù)據(jù)淹沒計算機，從而使其崩潰。這種攻擊方法并不能使攻擊者訪問受攻擊計算機中的信息，但可以造成被攻擊的計算機無法使用。DoS攻擊中的數(shù)據(jù)包在某種程度上都有些畸形，會導(dǎo)致計算機在試圖處理這些錯誤數(shù)據(jù)流時要耗用其所有資源。

拒絕服務(wù)攻擊手段又出現(xiàn)新的變種──分布式拒絕服務(wù)攻擊（Distributed Denial of Service， DDoS）。在DDoS中，攻擊者會引導(dǎo)許多計算機（通常是以百臺來計數(shù)）來對特定的某臺計算機或網(wǎng)絡(luò)發(fā)動協(xié)同式DoS攻擊。

3 利用防火墻來阻止網(wǎng)絡(luò)攻擊

防火墻（Firewall）是在計算機和Internet提供屏障的程序或設(shè)備，可以通過配置合理的防火墻來防止網(wǎng)絡(luò)黑客的攻擊事件發(fā)生。防火墻還可以被用來隔離局域網(wǎng)中的計算機，以免受來自Internet的威脅。如果到達防火墻的數(shù)據(jù)包不滿足所指定的條件，那么防火墻就阻止這些數(shù)據(jù)包進入局域網(wǎng)，但防火墻對于已授權(quán)的連接卻是透明的。

3.1 數(shù)據(jù)包篩選

絕大多數(shù)防火墻都使用數(shù)據(jù)包篩選，防火墻可以根據(jù)每個到達的數(shù)據(jù)包中的內(nèi)容來決定是阻止數(shù)據(jù)包還是允許它們通過。

用戶可以在防火墻中配置數(shù)據(jù)包篩選規(guī)則，決定阻止還是允許來自或發(fā)往某個IP地址或端口的數(shù)據(jù)包通過。數(shù)據(jù)包篩選器檢查每個數(shù)據(jù)包的一些屬性，并且可以對其進行路由或阻止，這都取決于源地址、目標地址、網(wǎng)絡(luò)協(xié)議、傳輸層協(xié)議、源端口和目標端口屬性。

根據(jù)IP地址、端口和協(xié)議來阻止數(shù)據(jù)包的速度是非?？斓模莾H憑這些信息還不足以判斷。在對某個目標端口（通常是某個有名的低端口號，端口號小于1024）建立TCP連接時，客戶計算機會任意打開一個源端口號（源端口號的取值范圍是在1023到16384之間）。我們當(dāng)然不會希望在這個范圍內(nèi)的所有端口對傳入的連接都處于開放狀態(tài)，因為這對于攻擊者來說是一個很大的目標。這就是狀態(tài)檢查數(shù)據(jù)包篩選出現(xiàn)的原因。

狀態(tài)檢查數(shù)據(jù)包篩選的工作過程：

(1)當(dāng)在客戶機的瀏覽器地址欄中輸入一個URL后，瀏覽器發(fā)送一個或多個數(shù)據(jù)包，其目標地址是某個Web服務(wù)器。該請求本身含有HTTP指令。目標端口是80，這是HTTP Web服務(wù)器的標準端口；源端口在1023到16384之間。

(2)防火墻在其狀態(tài)表中保存關(guān)于這次連接的信息，在驗證返回的傳入流量時，防火墻將用到這張狀態(tài)表。

(3)Web服務(wù)器發(fā)送應(yīng)答數(shù)據(jù)包，其目標地址是客戶端計算機的IP地址和源端口。

(4)防火墻接收傳入的流量，用傳入的數(shù)據(jù)包中的源地址和目標地址以及端口號于狀態(tài)表中的信息相比較。如果上述信息匹配，防火墻就允許應(yīng)答信息穿過防火墻，到達瀏覽器。如果不是所有的數(shù)據(jù)項都匹配，防火墻就會丟棄該數(shù)據(jù)包。

3.2 應(yīng)用程序篩選

更復(fù)雜的個人防火墻可以根據(jù)防火墻控制的數(shù)據(jù)流內(nèi)容以及對病毒、惡意代碼、ActiveX控件、Java小程序、Cookie等掃描的結(jié)果來進行篩選。此外更為重要的是，這些防火墻可以限制只有那些得到允許的程序才能對外連接。由為每個試圖連接其它計算機的應(yīng)用程序而配置的規(guī)則來決定連接是被允許還是拒絕。有些個人防火墻為常見的應(yīng)用程序提供了預(yù)配置的規(guī)則。

絕大多數(shù)個人防火墻都提供了某種規(guī)則助手，使得用戶更容易為其它應(yīng)用程序來創(chuàng)建新規(guī)則。當(dāng)啟動某個應(yīng)用程序，而又沒有向其授予自動Internet訪問的權(quán)限，防火墻就會出現(xiàn)提示消息，等待確定允許或阻止應(yīng)用程序多Internet的訪問。

因為防火墻控制所有通過特定網(wǎng)絡(luò)連接的TCP/IP通信，所以如果在同一次連接中把計算機加入LAN和Internet中，防火墻可以阻止與網(wǎng)絡(luò)上其它計算機的通信。為了使得到針對Internet的防護的同時還能夠無拘無束地訪問局域網(wǎng)，許多防火墻程序都使用了安全區(qū)域。即可以把局域網(wǎng)添加到可信任區(qū)域中。

對外連接篩選的一種有用的功能是防止計算機參與DDoS攻擊。絕大多數(shù)防火墻都被配置成阻止那些被已知的DDoS工具所利用的端口。如果無意中安裝了有特洛伊木馬偽裝的工具軟件，帶有對外應(yīng)用程序篩選功能的防火墻就會阻止特洛伊木馬的使用，除非明確地賦予其權(quán)限。

除了能阻止特洛伊木馬程序以外，基于應(yīng)用程序的對外篩選可以被用來防止“間諜軟件”向其發(fā)布者報告信息。即使有些來自著名發(fā)布商的確實有用的軟件也會自動返回信息。在防火墻中可以配置一條規(guī)則來阻止應(yīng)用程序自動地將本地信息向應(yīng)用程序的發(fā)布者發(fā)送。

3.3 使用硬件防火墻設(shè)備

局域網(wǎng)連接到Internet，可以使用硬件防火墻設(shè)備——也稱為路由器、駐留網(wǎng)關(guān)和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備。防火墻設(shè)備提供了對外部攻擊的良好防護，并且對個人防火墻程序提供了有益的補充。

網(wǎng)絡(luò)地址轉(zhuǎn)換是防火墻設(shè)備在防護措施中添加的最有效的方法之一。NAT設(shè)備使用一個IP地址來與Internet通信，并且為網(wǎng)絡(luò)中的每臺計算機都分配一個私有地址范圍內(nèi)的IP地址。NAT設(shè)備將每個私有IP地址轉(zhuǎn)換成其外部地址，從而不會把局域網(wǎng)中的計算機的IP地址暴露到Internet。

3.4 確定入侵者

防火墻對來自對計算機的攻擊行為進行監(jiān)控，防火墻的大部分的入侵行為警報是端口掃描，這些攻擊企圖通常都會被防火墻挫敗。防火墻程序維護一個記錄被阻止的連接和入侵企圖的日志。我們可以利用日志來追蹤入侵者。

知道了入侵者的IP地址，就可以使用Whois工具軟件來發(fā)現(xiàn)入侵者的身份，通知入侵者的ISP阻止入侵。

3.5 配置Internet防火墻日志

對Internet防火墻日志進行配置，使他能夠在日志文件中保存活動記錄。日志對于安全審核以及調(diào)試來說是非常重要的。為了進行安全審核，可以查閱Internet連接防火墻日志， 查出Internet上的哪些IP地址對計算機進行過探測，在必要的時候可以對這些IP地址采取某些行動。

4 結(jié)束語

綜上分析，網(wǎng)絡(luò)黑客的攻擊，利用了用戶計算機系統(tǒng)的薄弱之處，系統(tǒng)中存在軟件bug(系統(tǒng)漏洞)和疏忽的系統(tǒng)安全設(shè)置，如訪問權(quán)限設(shè)置、端口開放設(shè)置和防火墻保護設(shè)置等。有效地防止來自局域網(wǎng)外的惡意入侵者的攻擊，需要使用防火墻。在局域網(wǎng)和Internet之間設(shè)置網(wǎng)絡(luò)防火墻， 有力地阻止了網(wǎng)絡(luò)黑客的攻擊和阻斷信息泄漏。通過防火墻日志可以檢測非法入侵的來源，進行有力的反擊，阻斷惡源。網(wǎng)路防火墻對計算機系統(tǒng)的信息安全起著重要作用。

參考文獻：

[1] (美)John Chirillo著. 李宏平，等譯. 黑客攻擊防范篇[M].

[2] 李思齊，文洋. 防火之道──Internet安全構(gòu)建深度應(yīng)用[M].電子工業(yè)出版社，2006.

[3] 張千里， 陳光英. 網(wǎng)絡(luò)安全新技術(shù)[M].人民郵電出版社，2003.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文