Apache.org downtime - initial report

This is a short overview of what happened on Friday August 28 2009 to the apache.org services.  A more detailed post will come at a later time after we complete the audit of all machines involved.

On August 27th, starting at about 18:00 UTC an account used for automated backups for the ApacheCon website hosted on a 3rd party hosting provider was used to upload files to minotaur.apache.org.  The account was accessed using SSH key authentication from this host.

To the best of our knowledge at this time, no end users were affected by this incident,  and the attackers were not able to escalate their privileges on any machines.
　

While we have no evidence that downloads were affected, users are always advised to check digital signatures where provided.
　

minotaur.apache.org runs FreeBSD 7-STABLE and is more widely known as people.apache.org.  Minotaur serves as the seed host for most apache.org websites, in addition to providing shell accounts for all Apache committers.

The attackers created several files in the directory containing files for www.apache.org, including several CGI scripts.  These files were then rsynced to our production webservers by automated processes.  At about 07:00 on August 28 2009 the attackers accessed these CGI scripts over HTTP, which spawned processes on our production web services.

At about 07:45 UTC we noticed these rogue processes on eos.apache.org, the Solaris 10 machine that normally serves our websites.

Within the next 10 minutes we decided to shutdown all machines involved as a precaution.
After an initial investigation we changed DNS for most apache.org services to eris.apache.org, a machine not affected and provided a basic downtime message.

After investigation, we determined that our European fallover and backup machine, aurora.apache.org, was not affected.   While the some files had been copied to the machine by automated rsync processes, none of them were executed on the host, and we restored from a ZFS snapshot to a version of all our websites before any accounts were compromised.
At this time several machines remain offline, but most user facing websites and services are now available.

We will provide more information as we can.

註: 本文轉載自網路 非原創

轉載自  Apache Blog

New attack cracks WPA Wi-Fi encryption in just a minute

By Jose Vilches, TechSpot.com

Published: August 27, 2009, 1:09 PM EST
　

Encryption systems used by wireless routers have had a long history of security problems. The Wired Equivalent Privacy (WEP) system was cracked and rendered effectively pointless within a few years of its introduction in 1997. Now, it looks like its WPA successor may soon suffer the same fate, with a pair of Japanese researchers developing a way to break it in just one minute.
　

The attack builds on the so-called "Becks-Tews method" unveiled last year by researchers Martin Beck and Erik Tews. However, that method worked on a smaller range of WPA devices and took between 12 and 15 minutes to carry out. Both attacks work on WPA systems that use the Temporal Key Integrity Protocol (TKIP) algorithm. They aren't key-recovery attacks -- but give hackers a way to read encrypted traffic sent between computers and certain types of routers that use the outdated encryption system.
　

The Wi-Fi Alliance has required since 2006 that Wi-Fi-certified products support WPA 2, a much more powerful encryption system that is not vulnerable to these attacks, but users have been slow to upgrade.
　

The two researchers, Toshihiro Ohigashi of Hiroshima University and Masakatu Morii of Kobe University, are to discuss their findings at a conference in Hiroshima this September 25 but you can read some details now in their paper, "A Practical Message Falsification Attack on WPA" (PDF).
　

註: 本文轉載自網路 非原創

轉載自  TechSpot 

2009年100款最佳安全工具

在這邊只列出前五名
有興趣的可以前往
原文 (簡體中文)
原文 (英文)

#1

Nessus ：最好的UNIX漏洞掃瞄工具

Nessus是最好的免費網絡漏洞掃瞄器，它可以運行於幾乎所有的UNIX平台之上。它不止永久升級，還免費提供多達11000種插件（但需要註冊並接受EULA-acceptance（終端用戶授權協議））。它的主要功能是遠程或本地（已授權的）安全檢查，客戶端/服務器架構，GTK（Linux下的一種圖形界面）圖形界面，內置腳本語言編譯器，可以用其編寫自定義插件，或用來閱讀別人寫的插件。Nessus 3已經開發完成（now closed source），其現階段仍然免費，除非您想獲得最新的插件。

 

 

#2

Wireshark ：嗅探網絡粘合膠水（網絡協議）

Wireshark （2006年夏天之前叫做 Ethereal）是一款非常棒的Unix和Windows上的開源網絡協議分析器。它可以實時檢測網絡通訊數據，也可以檢測其抓取的網絡通訊數據快照文件。可以通過圖形界面瀏覽這些數據，可以查看網絡通訊數據包中每一層的詳細內容。Wireshark擁有許多強大的特性：包含有強顯示過濾器語言（rich display filter language）和查看TCP會話重構流的能力；它更支持上百種協議和媒體類型；擁有一個類似tcpdump（一個Linux下的網絡協議分析工具）的名為tethereal的的命令行版本。不得不說一句，Ethereal已經飽受許多可遠程利用的漏洞折磨，所以請經常對其進行升級，並在不安全網絡或敵方網絡（例如安全會議的網絡）中謹慎使用之。

#3

Snort ：一款廣受歡迎的開源IDS（Intrusion Detection System）（入侵檢測系統）工具

這款小型的入侵檢測和預防系統擅長於通訊分析和IP數據包登錄（packet logging）。Snort除了能夠進行協議分析、內容搜索和包含其它許多預處理程序，還可以檢測上千種蠕蟲病毒、漏洞、端口掃瞄以及其它可疑行為檢測。Snort使用一種簡單的基於規則的語言來描述網絡通訊，以及判斷對於網絡數據是放行還是攔截，其檢測引擎是模塊化的。用於分析Snort警報的網頁形式的引擎 Basic Analysis and Security Engine (BASE)可免費獲得。

開源的Snort為個人、小企業、集團用戶提供良好的服務。其母公司SourceFire提供豐富的企業級特性和定期升級以豐富其產品線。提供（必須註冊）5天免費的規則試用，您也可以在Bleeding Edge Snort找到很多免費規則。

 

 

#4

Netcat ：網絡瑞士軍刀

這個簡單的小工具可以讀和寫經過TCP或UDP網絡連接的數據。它被設計成一個可靠的可以被其它程序或腳本直接和簡單使用的後台工具。同時，它也是一個功能多樣的網絡調試和檢查工具，因為它可以生成幾乎所有您想要的網絡連接，包括通過端口綁定來接受輸入連接。Netcat最早由Hobbit在1995年發佈，但在其廣為流傳的情況下並沒有得到很好的維護。現在nc110.tgz已經很難找了。這個簡單易用的工具促使了很多人寫出了很多其它Netcat應用，其中有很多功能都是原版本沒有的。其中最有趣的是Socat，它將Netcat擴展成可以支持多種其它socket類型，SSL加密，SOCKS代理，以及其它擴展的更強大的工具。它也在本列表中得到了自己的位置（第71位）。還有Chris Gibson’s Ncat，能夠提供更多對便攜設備的支持。其它基於Netcat的工具還有OpenBSD’s nc，Cryptcat，Netcat6，PNetcat，SBD，又叫做GNU Netcat。

 

#5

Metasploit Framework ： 黑掉整個星球

2004年Metasploit的發佈在安全界引發了強烈的地震。沒有一款新工具能夠一發佈就擠進此列表的15強（也就是說2000年和2009年的調查沒有這種情況），更何況此工具更在5強之列，超過了很多廣為流傳的誕生了幾十年的老牌工具。它是一個強大的開源平台，供開發、測試和使用惡意代碼。這種可擴展的模型將負載控制、編碼器、無操作生成器和漏洞整合在一起，使得Metasploit Framework成為一種研究高危漏洞的途徑。它自帶上百種漏洞，還可以在online exploit building demo（在線漏洞生成演示）看到如何生成漏洞。這使得您自己編寫漏洞變得更簡單，它勢必將提升非法shellcode代碼的水平，擴大網絡陰暗面。與其相似的專業漏洞工具，例如Core Impact和Canvas已經被許多專業領域用戶使用。Metasploit降低了這種能力的門檻，將其推廣給大眾。

 

 

以上五款工具 相信大家都不陌生

有興趣繼續閱讀 可以前往
原文 (簡體中文)
原文 (英文)                                            

註: 本文轉載自網路 非原創
轉載自 安全中國  / Nmap

Fly_flash 0.1 release

fly_flash — Jump/XSS/CSRF in Flash
Author: lake2@80sec.com
Site: http://www.80sec.com
Date: 2009-8-26
From: http://www.80sec.com/release/fly_flash.txt
80SEC — know it then hack it !

[ description ]

fly_flash is a tool for penetration in flash

[ usage ]

upload fly_flash.swf and fly_flash.txt to your server in same directory, embed fly_flash.swf in other website, modify the fly_flash.txt first: ,[,,,data]

cmd
0 — jump URL
1 — open window
2 — send GET Request
3 — send POST Request
4 — Call JavaScript

know it then hack it, but, do you know what’s allowNetworking/allowScriptAccess ?

[ example ]

jump to http://www.80sec.com
0,http://www.80sec.com

open window to http://www.80sec.com
1,http://www.80sec.com

send GET Request to 80sec.om
2,http://www.80sec.com/lake2/?hello

send POST Request to 80sec.om
3,http://www.80sec.com/lake2/?hello,,,str=knowitthenhackit

Call JavaScript
4,alert(/xss/)

[download]

http://www.80sec.com/release/fly_flash.rar

註: 本文轉載自網路 非原創 
轉載自 80sec

FireFox元件- WEB 服務器調試利器 -- Tamper Data

一. 簡介

      作為 Firefox 的插件， Tamper Data 簡單易用，功能強大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數；可以用來跟蹤 HTTP 請求和響應並記時；可以對 WEB 站點進行某些安全測試，從而為調試 WEB 配置帶來了極大的便利，是網站維護人員不可多得的實用工具。

二. 安裝

      Tamper Data 的安裝很簡單，如下所示：

      第一步：打開 Firefox，進入 google.cn，搜索 「tamper data」，並點擊搜到的 "Tamper Data :: Firefox Add-ons-"項。如下圖所示：

       

        第二步：進入 Tamper Data 安裝頁面後，找到下面的位置並點擊，開始安裝：

     

         第三步：安裝完後後，可以在 Firefox 菜單欄的「工具」菜單項裡面找到 Tamper Data，如下圖所示：

三. 使用

      Tamper Data 的使用也比較簡單，下面介紹了其主要的用法：

      點擊 Firefox 菜單欄上「工具」菜單項裡面的「Tamper Data」，就會彈出 Tamper Data 的主窗口，如下圖所示：

       

        可以看出，其主窗口主要分成三部分，分別如圖中的 1，2，3 所示。當我們打開 Tamper Data 後，我們瀏覽網頁時發出的每一個 HTTP 請求及其對應的響應都會被 Tamper Data 記錄下來。第 1 部分顯示每一個 HTTP 請求及其對應的 HTTP 響應的概要信息，其中包括了大量有用的信息，比如頁面元素大小，HTTP 請求的方法，HTTP 響應的狀態值，等等。最值得注意的是「Duration」和「Total Duration」這兩個字段的值，他們顯示出了打開每一個頁面元素所花費的時間和打開該頁面花費的總時間。根據這些時間值，就可以判斷出打開我們頁面的 速度如何，是哪些頁面元素影響了整個頁面打開的速度，從而為我們進一步優化頁面提供寶貴的信息。當我們在第 1 部分選中某條概要信息後，第 2 部分會顯示出對應的 HTTP 請求的頭部信息，第 3 部分會顯示出對應的 HTTP 響應的頭部信息。

        如果我們比較喜歡查看圖型化的統計信息，那麼可以在 Tamper Data 主窗口的第 1 部分單擊右鍵，在彈出的菜單上點擊「Graph All」，如下圖所示，那麼這些每個頁面元素及其打開它們所花費的時間，就會以圖形的方式，直觀地顯示出來。具體的圖形，就不提供了。

        接下來，我們看看幾個實際的例子。

        第一個例子：我們把 APACHE 配置為，當用戶第一次瀏覽我們的網站時，向用戶的瀏覽器寫入一個 Cookie，以方便對他們的訪問行為的跟蹤，然後，我們需要驗證配置是否正確。於是，我們開啟 Tamper Data，然後再訪問我們網站的某個頁面，接著分析 Tamper Data 所記錄的數據。可以從第 3 個窗口看到，我們的 APACHE 服務器確實向我們的瀏覽器寫入了預先配置的 Cookie，如下圖所示：

        接下來，我們去體會 Tamper Data 的真實含義，即「篡 改數據」（或者說定製 HTTP 請求）：截取瀏覽器發出的每一個 HTTP 請求，提示我們選擇是要進行定製，還是不做定製而直接提交請求，還是終止當前被截取的請求，然後根據我們的選擇決定是打開定製窗口，還是直接向 WEB 服務器提交請求，還是終止當前的請求。

        默認情況下，Tamper Data 不會截取對圖片的請求，所以，如果我們需要對獲取圖片的請求進行定製，那麼需要一點點修改，點擊 Tamper Data 主窗口上的「Option」，會出現下面的窗口，勾選「Tamper with Images etc.」就可以了。

        順便提一下，從下面窗口的內容可以看出，Tamper Data 還提供了一些進行 XSS(跨站腳本)攻擊和 SQL 注入攻擊的代碼，而且允許我們加入自己的攻擊代碼，極大地方便了我們對 WEB 站點進行安全測試。

        是該進行「Tamper」的時候了。

     點擊 Tamper Data 主窗口上的「Start Tamper」，開啟對 HTTP 請求的截取。

        一旦開啟了對 HTTP 請求的截取，對於瀏覽器發出的每一個請求，Tamper Data 都會截取，然後顯示出下面的窗口，要求我們作出選擇：

        在此我們選擇「Tamper」，準備對 HTTP 請求進行定製，對我們的 WEB 服務器配置進行測試和調試。

        點擊率「Tamper」之後，會出現下面的窗口。可以看到，窗口的頂部，顯示當前被截獲的 HTTP 請求，左邊窗口顯示的是瀏覽器發出的 HTTP 請求的頭部各字段，右邊窗口顯示的是瀏覽器發出的 HTTP 請求的  POST 參數。在這兩個窗口裡面，我們可以修改瀏覽器提交的 HTTP 請求頭部字段/POST 參數，刪除某些 瀏覽器提交的 HTTP 請求頭部字段/POST 參數，或者添加其他合法的 HTTP 請求頭部字段/POST 參數。很強大吧？

        現在，我們想測試自己配置的圖片防盜鏈是否正常起作用。於是我們添加一個 Referer 頭部字段，並輸入 [url]www.cisco.com[/url] ，如下圖所示，點擊「OK」提交後，發現我們的請求被重定向到 go_way.html 頁面，可見我們的配置是正確的。

        下面是測試我們配置的防惡意瀏覽器訪問。在下面的窗口，修改瀏覽器提交的 User-Agent 字段，將其設置為我們禁止的惡意訪問瀏覽器之一，比如 sogou spider，點擊「OK」提交後，發現我們的請求被禁止了，可見我們的配置是正確的。

        這樣的例子，還可以寫很多，在此就不再講述了。有興趣的讀者可以去深入研究 Tamper Data。

四. 總結

       Tamper Data 是我見過的最好用的 WEB 調試工具之一，既可以統計每個頁面及其元素的打開速度，又可以定製 HTTP 請求，對我們的網站進行安全測試。作為網站維護人員，實在是有必要掌握它，為自己的兵器庫增加一種厲害的兵器。

附：本文提到的 APACHE 配置，可以參考我的另外一篇文章《我這樣裝 APACHE 》

本文出自 「鄒可見」 博客，請務必保留此出處http://zoukejian.blog.51cto.com/131276/62057

註: 本文轉載自網路 非原創

IP address 分配實例,子網掩碼概念與舉例

IP和子網掩碼

我們都知道，ＩＰ是由四段數字組成，在此，我們先來瞭解一下3類常用的ＩＰ

A類IP段　&nbsp0.0.0.0 到127.255.255.255

B類IP段　&nbsp128.0.0.0 到191.255.255.255

C類IP段　&nbsp192.0.0.0 到223.255.255.255

ＸＰ默認分配的子網掩碼每段只有255或0

Ａ類的默認子網掩碼　255.0.0.0　　　　　一個子網最多可以容納1677萬多台電腦

Ｂ類的默認子網掩碼　255.255.0.0　　　　一個子網最多可以容納6萬台電腦

Ｃ類的默認子網掩碼　255.255.255.0　　　一個子網最多可以容納254台電腦

我以前認為，要想把一些電腦搞在同一網段，只要ＩＰ的前三段一樣就可以了，今天，我才知道我錯了。如果照我這說的話，一個子網就只能容納254台電腦？真是有點笑話。我們來說詳細看看吧。

要想在同一網段，只要網絡標識相同就可以了，那要怎麼看網絡標識呢？首先要做的是把每段的ＩＰ轉換為二進制。（有人說，我不會轉換耶，沒關係，我們用 Ｗｉｎｄｏｗｓ自帶計算器就行。打開計算器，點查看>科學型，輸入十進制的數字，再點一下「二進制」這個單選點，就可以切換至二進制了。）

把子網掩碼切換至二進制，我們會發現，所有的子網掩碼是由一串[red]連續[/red]的1和一串[red]連續[/red]的0組成的（一共4段，每段8位，一共32位數）。

255.0.0.0　　　11111111.00000000.00000000.00000000

255.255.0.0　　11111111.11111111.00000000.00000000

255.255.255.0　11111111.11111111.11111111.00000000

這是A/B/C三類默認子網掩碼的二進制形式，其實，還有好多種子網掩碼，只要是一串連續的1和一串連續的0就可以了（每段都是8位）。如 11111111.11111111.11111000.00000000，這也是一段合法的子網掩碼。子網掩碼決定的是一個子網的計算機數目，計算機公 式是2的m次方，其中，我們可以把m看到是後面的多少顆0。如255.255.255.0轉換成二進制，那就是 11111111.11111111.11111111.00000000，後面有8顆0，那m就是8，255.255.255.0這個子網掩碼可以容納 2的8次方（台）電腦，也就是256台，但是有兩個ＩＰ是不能用的，那就是最後一段不能為0和255，減去這兩台，就是254台。我們再來做一個。

255.255.248.0這個子網掩碼可以最多容納多少台電腦？

計算方法：

把將其轉換為二進制的四段數字（每段要是8位，如果是0，可以寫成8個0，也就是00000000）

11111111.1111111.11111000.00000000

然後，數數後面有幾顆0，一共是有11顆，那就是2的11次方，等於2048，這個子網掩碼最多可以容納2048台電腦。

一個子網最多可以容納多少台電腦你會算了吧，下面我們來個逆向算法的題。

一個公司有530台電腦，組成一個對等局域網，子網掩碼設多少最合適？

首先，無疑，530台電腦用Ｂ類ＩＰ最合適（Ａ類不用說了，太多，Ｃ類又不夠，肯定是Ｂ類），但是B類默認的子網掩碼是255.255.0.0，可以容納6萬台電腦，顯然不太合適，那子網掩碼設多少合適呢？我們先來列個公式。

2的m次方＝560

首先，我們確定2一定是大於8次方的，因為我們知道2的8次方是256，也就是Ｃ類ＩＰ的最大容納電腦的數目，我們從9次方一個一個試2的9次方是 512，不到560，2的10次方是1024，看來2的10次方最合適了。子網掩碼一共由32位組成，已確定後面10位是0了，那前面的22位就是1，最 合適的子網掩碼就是：11111111.11111111.11111100.00000000，轉換成10進制，那就是255.255.252.0。

分配和計算子網掩碼你會了吧，下面，我們來看看ＩＰ地址的網段。

相信好多人都和偶一樣，認為ＩＰ只要前三段相同，就是在同一網段了，其實，不是這樣的，同樣，我樣把ＩＰ的每一段轉換為一個二進制數，這裡就拿ＩＰ：192.168.0.1，子網掩碼：255.255.255.0做實驗吧。

192.168.0.1

11000000.10101000.00000000.00000001

（這裡說明一下，和子網掩碼一樣，每段8位，不足8位的，前面加0補齊。）

ＩＰ　　　　11000000.10101000.00000000.00000001

子網掩碼　　11111111.11111111.11111111.00000000

在這裡，向大家說一下到底怎麼樣才算同一網段。

要想在同一網段，必需做到網絡標識相同，那網絡標識怎麼算呢？各類ＩＰ的網絡標識算法都是不一樣的。Ａ類的，只算第一段。Ｂ類，只算第一、二段。Ｃ類，算第一、二、三段。

算法只要把ＩＰ和子網掩碼的每位數AND就可以了。

AND方法：0和1＝0　0和0＝0　1和1＝1

如：And　192.168.0.1，255.255.255.0，先轉換為二進制，然後AND每一位

ＩＰ　　　　　　11000000.10101000.00000000.00000001

子網掩碼　　　　11111111.11111111.11111111.00000000

得出AND結果　&nbsp11000000.10101000.00000000.00000000

轉換為十進制192.168.0.0，這就是網絡標識，

再將子網掩碼反取，也就是00000000.00000000.00000000.11111111，與IP　AND

得出結果00000000.00000000.00000000.00000001，轉換為10進制，即0.0.0.1，

這0.0.0.1就是主機標識。要想在同一網段，必需做到網絡標識一樣。

我們再來看看這個改為默認子網掩碼的Ｂ類ＩＰ

如ＩＰ：188.188.0.111，188.188.5.222，子網掩碼都設為255.255.254.0，在同一網段嗎？

先將這些轉換成二進制

188.188.0.111　10111100.10111100.00000000.01101111

188.188.5.222　10111100.10111100.00000101.11011010

255.255.254.0　11111111.11111111.11111110.00000000

分別AND，得

10111100.10111100.00000000.00000000

10111100.10111100.00000100.00000000

網絡標識不一樣，即不在同一網段。

判斷是不是在同一網段，你會了吧，下面，我們來點實際的。

一個公司有530台電腦，組成一個對等局域網，子網掩碼和ＩＰ設多少最合適？

子網掩碼不說了，前面算出結果來了11111111.11111111.11111100.00000000，也就是255.255.252.0

我們現在要確定的是ＩＰ如何分配，首先，選一個Ｂ類ＩＰ段，這裡就選188.188.x.x吧

這樣，ＩＰ的前兩段確定的，關鍵是要確定第三段，只要網絡標識相同就可以了。我們先來確定網絡號。（我們把子網掩碼中的1和IP中的?對就起來，0和*對應起來，如下：）

255.255.252.0　11111111.11111111.11111100.00000000

188.188.x.x　　10111100.10111100.??????**.********

網絡標識　　　10111100.10111100.??????00.00000000

由此可知，?處隨便填（只能用0和1填，不一定全是0和1），我們就用全填0吧，*處隨便，這樣呢，我們的ＩＰ就是

10111100.10111100.000000**.********，一共有530台電腦，ＩＰ的最後一段1～254可以分給254台計算 機，530/254＝2.086，採用進1法，得整數3，這樣，我們確定了ＩＰ的第三段要分成三個不同的數字，也就是說，把000000**中的**填三 次數字，只能填1和0，而且每次的數字都不一樣，至於填什麼，就隨我們便了，如00000001，00000010，00000011，轉換成二進制，分 別是1，2，3，這樣，第三段也確定了，這樣，就可以把ＩＰ分成188.188.1.y，188.188.2.y，188.188.3.y，y處隨便填， 只要在1～254範圍之內，並且這530台電腦每台和每台的ＩＰ不一樣，就可以了。

有人也許會說，既然算法這麼麻煩，乾脆用Ａ類ＩＰ和Ａ類默認子網掩碼得了，偶要告訴你的是，由於Ａ類ＩＰ和Ａ類默認子網掩碼的主機數目過大，這樣做無疑是大海撈針，如果同時局域網訪問量過頻繁、過大，會影響效率的，所以，最好設置符合自己的ＩＰ和子網掩碼^_^

註: 本文轉載自網路 非原創

可疑檔案上傳掃描

Jotti http://virusscan.jotti.org/en Kaspersky http://www.kaspersky.com/scanforvirus Novirusthanks http://scanner.novirusthanks.org/ Virscan.Org http://www.virscan.org/ Virus-Org http://scanner.virus.org/ VirusTotal http://www.virustotal.com/zh-tw/

有關防火牆的四大原理

一、防火牆基本原理
首先，我們需要瞭解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態檢測的包過濾，應用層代理防火
牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網絡│ │
防火牆一般有兩個以上的網絡卡，一個連到外部(router)，另一個是連到內部網絡。當打開主機網絡轉發功能時，兩個網卡間的網絡通訊能直接通過。當有防火牆時，他好比插在網卡之間，對所有的網絡通訊進行控制。
說到訪問控制，這是防火牆的核心了：)，防火牆主要通過一個訪問控制表來判斷的，他的形式一般是一連串的如下規則：
1 accept from+ 源地址，端口 to+ 目的地址，端口+ 採取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是地址轉換。後面說)
防火牆在網絡層(包括以下的煉路層)接受到網絡數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。。。
但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。
二、攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了，它在網絡層截獲網絡數據包，根據防火牆的規則表，來檢測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！！很容易受到如下攻擊：
1 ip 欺騙攻擊：
這種攻擊，主要是修改數據包的源，目的地址和端口，模仿一些合法的數據包來騙過防火牆的檢測。如：外部攻擊者，將他的數據報源地址改為內部網絡地址，防火牆看到是合法地址就放行了：)。可是，如果防火牆能結合接口，地址來匹
配，這種攻擊就不能成功了：(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：)你就可以饒過了，不過這樣攻擊還很少的。！
3 分片攻擊
這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標誌分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包 通過分組過濾防火牆時，防火牆只根據第一個分片包的Tcp信息判斷是否允許通過，而其他後續的分片不作防火牆檢測，直接讓它們通過。
這樣，攻擊者就可以通過先發送第一個合法的IP分片，騙過防火牆的檢測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網絡主機，從而威脅網絡和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網絡安裝了木馬，防火牆基本上是無能為力的。
原因是：包過濾防火牆一般只過濾低端口(1-1024)，而高端口他不可能過濾的(因為，一些服務要用到高端口，因此防火牆不能關閉高端口的)，所以很多的木馬都在高端口打開等待，如冰河，subseven等。。。
但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這裡不寫這個了。大概就是利用內部網絡主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態檢測技術，下面談談狀態檢測的包過濾防火牆。
三、攻擊狀態檢測的包過濾
狀態檢測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是：)很多是沒有實現的。到底什麼是狀態檢測？
一句話，狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關係，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃瞄，就有利用syn包，fin包，reset包來探測防火牆後面的網絡。！
相反，一個完全的狀態檢測防火牆，他在發起連接就判斷，如果符合規則，就在內存登記了這個連接的狀態信息(地址，port，選項。。),後續的屬於同一 個連接的數據包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息，都被丟棄了。這樣這些攻擊數據包，就不能饒 過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測裡，採用動態規則技術，原先高端口的問題就可以解決了。實 現原理是：平時，防火牆可以過濾內部網絡的所有端口(1-65535),外部攻擊者難於發現入侵的切入點，可是為了不影響正常的服務，防火牆一但檢測到服 務必須開放高端口時，如(ftp協議，irc等)，防火牆在內存就可以動態地天加一條規則打開相關的高端口。等服務完成後，這條規則就又被防火牆刪除。這 樣，既保障了安全，又不影響正常服務，速度也快。！
一般來說，完全實現了狀態檢測技術防火牆，智能性都比較高，一些掃瞄攻擊還能自動的反應，因此，攻擊者要很小
心才不會被發現。
但是，也有不少的攻擊手段對付這種防火牆的。
1 協議隧道攻擊
協議隧道的攻擊思想類似與VPN的實現原理，攻擊者將一些惡意的攻擊數據包隱藏在一些協議分組的頭部，從而穿透防火牆系統對內部網絡進行攻擊。
例如，許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火牆就容易受到ICMP和UDP協議隧道的攻擊。
Loki和lokid(攻擊的客戶端和服務端)是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設法在內部網絡的一個系統上安裝上lokid服務端，而後攻擊者就可以通過loki客戶端將希望遠程執行的攻擊命令(對應IP分組)嵌入在ICMP或
UDP 包頭部，再發送給內部網絡服務端lokid，由它執行其中的命令，並以同樣的方式返回結果。由於許多防火牆允許ICMP和UDP分組自由出入，因此攻擊者 的惡意數據就能附帶在正常的分組，繞過防火牆的認證，順利地到達攻擊目標主機下面的命令是用於啟動lokid服務器程序：
lokid-p CI Cvl
loki客戶程序則如下啟動：
loki Cd172.29.11.191(攻擊目標主機)-p CI Cv1 Ct3
這樣，lokid和loki就聯合提供了一個穿透防火牆系統訪問目標系統的一個後門。
2 利用FTP-pasv繞過防火牆認證的攻擊
FTP-pasv攻擊是針對防火牆實施入侵的重要手段之一。目前很多防火牆不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監 視FTP服務器發送給客戶端的包的過程中，它在每個包中尋找"227"這個字符串。如果發現這種包，將從中提取目標地址和端口，並對目標地址加以驗證，通 過後，將允許建立到該地址的TCP連接。
攻擊者通過這個特性，可以設連接受防火牆保護的服務器和服務。
3 反彈木馬攻擊

反彈木馬是對付這種防火牆的最有效的方法。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機，由於連接是從內部發起的，防火牆(任何的防火牆)都認為是一個合法的連接，因此基本上防火牆的盲區就是這裡了。防火牆不能區分木馬的連接和合法的連接。

但是這種攻擊的侷限是：必須首先安裝這個木馬！！！所有的木馬的第一步都是關鍵！

四、攻擊代理

代理是運行在應用層的防火牆，他實質是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務器。

實現上比較簡單，和前面的一樣也是根據規則過濾。由於運行在應用層速度比較慢/1

攻擊代理的方法很多。

這裡就以wingate為例，簡單說說了。(太累了)

WinGate是目前應用非常廣泛的一種Windows95/NT代理防火牆軟件，內部用戶可以通過一台安裝有WinGate的主機訪問外部網絡，但是它也存在著幾個安全脆弱點。

黑客經常利用這些安全漏洞獲得WinGate的非授權Web、Socks和Telnet的訪問，從而偽裝成WinGate主機的身份對下一

個攻擊目標發動攻擊。因此，這種攻擊非常難於被跟蹤和記錄。

導致WinGate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對WinGate代理防火牆軟件進行合理的設置，只是簡單地從缺省設置安裝完畢後就讓軟件運行，這就給攻擊者可乘之機。

1 非授權Web訪問

某些WinGate版本(如運行在NT系統下的2.1d版本)在誤配置情況下，允許外部主機完全匿名地訪問因特網。因此，外部攻擊者就可以利用WinGate主機來對Web服務器發動各種Web攻擊( 如CGI的漏洞攻擊等)，同時由於Web攻擊的所有報文都是

從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測

檢測WinGate主機是否有這種安全漏洞的方法如下：

1) 以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網上。

2) 把瀏覽器的代理服務器地址指向待測試的WinGate主機。

如果瀏覽器能訪問到因特網，則WinGate主機存在著非授權Web訪問漏洞。

2 非授權Socks訪問

在WinGate的缺省配置中，Socks代理(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web代理(80號Tcp端口)一樣，外部攻擊者可以利用Socks代理訪問因特網。

防範

要防止攻擊WinGate的這個安全脆弱點，管理員可以限制特定服務的捆綁。在多宿主(multi homed)系統上，執行以下步驟以限定如何提供代理服務。

1選擇Socks或WWWProxyServer屬性。

2選擇Bindings標籤。

3按下ConnectionsWillBeAcceptedOnTheFollowingInte***ceOnly按鈕，並指定本WinGate服務器的內部接口。

非授權Telnet訪問

它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的inGate服務器的Telnet服務，攻擊者可以使用別人的主機隱藏自己的蹤跡，隨意地發動攻擊。

檢測

檢測WinGate主機是否有這種安全漏洞的方法如下：

1.使用telnet嘗試連接到一台WinGate服務器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris『^]』.

Wingate>10.50.21.5

2.如果接受到如上的響應文本，那就輸入待連接到的網站。

3.如果看到了該新系統的登錄提示符，那麼該服務器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

對策

防止這種安全脆弱點的方法和防止非授權Socks訪問的方法類似。在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題。一般來說，在多宿主(multihomed)系統管理員可以通過執行以下步驟來完成：

1.選擇TelnetSever屬性。

2.選擇Bindings標籤。

3.按下ConnectionsWillBeAcceptedOnTheFollowingInte***ceOnly按鈕，並指定本WinGate服務器的內部接口。

五、後話

有防火牆的攻擊不單是上面的一點，我有什麼寫的不對的，大家指正。

一直以來，黑客都在研究攻擊防火牆的技術和手段，攻擊的手法和技術越來越智能化和多樣化。但是就黑客攻擊防火牆的過程上看，大概可以分為三類攻擊。

第一類攻擊防火牆的方法是探測在目標網絡上安裝的是何種防火牆系統並且找出此防火牆系統允許哪些服務。我們叫它為對防火牆的探測攻擊。

第二類攻擊防火牆的方法是採取地址欺騙、TCP序號攻擊等手法繞過防火牆的認證機制，從而 對防火牆和內部網絡破壞。

第三類攻擊防火牆的方法是尋找、利用防火牆系統實現和設計上的安全漏洞，從而有針對性地發動攻擊。這種攻擊難度比較大，可是破壞性很大。

註: 本文轉載自網路 非原創
laoxiege.blog.sohu.com