防 火 墙 是 如 何 运 作 的
以 历 史
的 观 点 而 言 , 有 3 种 不同 的 技 术 被 使
用 来 作 为 防 火 墙 : 封 包 过 滤 ( Packet Filters
) 、 应 用 层 闸 道 ( Application-Layer Gateways
) 和 状 态 检 视 ( Stateful Inspection ) 。
阻 断 式 服 务 攻 击(DoS / Denial
of Service)
谈 到 骇 客 攻 击 的 方 式 , 这 些
方 式 可 说 包 罗 万 象 亦 难 以 归 类 , 在 这 里 仅 介 绍 几 种 较
为 常 见 与 热 门
的 方 式 : 阻 断 式 服 务 攻 击(DoS / Denial
of Service)
DoS
是 一 种 点 对 点 的 网 路 攻 击 方 式 , 攻 击
的 对 向 是 Internet 上 的 网 路 和 装 置 。 攻
击 者 可 藉 由 不 正 当 的 方 式 使 得 网 路 伺
服 器 因 忙 碌 着 回 应 合 法 的 存 取 要 求 或
拒 绝 使 用 者 的 存 取 , 达 到 干 扰 正 常 系
统 运 作 的 进 行 , 服 务 主 机 疲 于 奔 命 最
后 几 乎 当 机 , 最 后 无 法 再 提 供 服 务。
DoS 不 一 定 需 要 取 得 系 统 使 用 的 权 力
, 即 可 达 到 目 的 。 常 见 的 DoS 手 法 如
IP Spoofing 、 Ping of Death 、 SYN Flood 、 Teardrop
等 都 属 于 该 类 方 式 。
常 见 的 三 种 DoS 攻
击 方 式
IP
Spoofing:IP
Spoofing 是 骇 客 用 来 达 到 隐 藏 入 侵 者 的 身 份 或 加 强 DoS
攻 击 的 能 力 , 因 为 路 由 器 或 防 火 墙 的 封 包 过 滤( Packet
Filtering ) 系 统 对 每 个 封 包 所 采 用 的 规 则 乃 是 依 据
该 封 包 的 来 源 位 置 而 定 , 此 技 术 是 用 来 改 变 网 路 封 包
的 来 源 位 址 , 假 装 其 来 源 来 自 于 可 信 任 的 网 路 , 进 而
顺 利 进 入 私 人 网 路 , 使 用 一 系 列 的 DoS 攻 击 时 攻 击 者
可 以 籍 此 技 术 来 隐 藏 自 己 位 置 和 身 分 。
Ping of Death:利
用 "Ping" 指 令 来 产 生 超 过 IP 协 定 所 能 够
允 许 的 最 大 封 包(亦 即 超 过 封 包 长 度 65535 bytes )。 当
这 个 封 包 送 到 没 有 检 查 功 能 的 系 统 , 则 可 能 会 造 成 系
统 当 机 , 因 为 理 论 上 65535 bytes 是 一 个 不 合 法 的 长
度 , 如 果 作 业 系 统 系 统 无 法 接 受 此 一 封 包 加 以 回 应 (OS
bug), 最 后 就 会 导 致 当 机 。
Teardrop : 一 般 来
说 , 当 资 料 需 经 由 网 路 传 送 时 , 负 责 传 输 的 主 机 会 将
I P 封 包 经 常 会 被 切 割 成 许 多 小 片 段 , 到 达 目 的 地 主
机 后 按 照 原 状 重 新 组 合 起 来 。 除 了 一 些 记 载 位 移 的 资
讯 之 外 , 这 些 切 出 来 的 小 片 段 与 原 来 封 包 的 结 构 大 致
相 同 。Teardrop 的 攻 击 方 式 是 送 出 一 对 经 过 特 别 设 计
封 包 片 段 , 使 得 这 一 对 封 包 片 段 在 目 的 地 电 脑 重 新 组
合 时 , 产 生 与 原 来 资 料 不 合 的 封包 , 它 的 原 理 在 于 改 变
第 二 个 片 段 的 位 移 资 讯 , 使 得 资 料 往 左 移 至 第 一 个 片
段 的 中 间 与 第 一 个 片 段 资 料 重 叠(overlap), 重 叠 部 份
将 会 系 统 认 为 资 造 太 长 而 被 略 过 , 导 致 一 个 实 际 上 比
原 来 长 度 更 短 的 封 包 , 最 后造 成 系 统 当 机 。 |
