从实践上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但跟着网络安全技术的整体 发展 和网络应用的一直变更, 古代 防火墙技术已经逐渐走向网络层之外的其他安全档次,不仅要实现传统防火墙的过滤义务,同时还能为各种网络应用供给相应的安全服务。只管如斯，事件没有我们设想的完善，攻击我们的是人，不是机器，聪慧的黑客们总会想到一些措施来冲破防火墙。
　　
　　一、包过滤型防火墙的攻击
　　
　　包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目的和端口等网络信息进行判定,无奈辨认基于应用层的歹意入侵。
　　包过滤防火墙是在网络层截获网络Packet，根据防火墙的规矩表，来检测攻击行动。根据Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口来过滤。所以它很轻易受到如下攻击。
　　
　　（一）ip诈骗
　　如果修正Packet的源，目标地址跟端口，模拟一些合法的Packet就可以骗过防火墙的检测。如：我将Packet中的源地址改为内部网络地址，防火墙看到是正当地址就会放行。
　　这种攻击应当怎么防备呢？
　　假如防火墙能联合接口，地址来匹配，这种攻击就不能胜利了。
　　eth1连接外部网络,eth2衔接内部网络，所有源地址为内网地址的Packet必定是先到达eth2，咱们配置eth1只接收来自eth2的源地址为内网地址的Packet，那么这种直接达到eth1的捏造包就会被抛弃。
　　
　　（二）分片伪造
　　分片是在网络上传输IP报文时采取的一种技术手腕，但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者从新启动。这里我们只谈谈如何绕过防火墙的检测。
　　在IP的分片包中，所有的分片包用一个分片偏移字段标记分片包的次序，然而，只有第一个分片包括有TCP端口号的信息。当IP分片包通过火组过滤防火墙时，防火墙只依据第一个分片包的Tcp信息断定是否容许通过，而其余后续的分片不作防火墙检测，直接让它们通过。
　　工作原理弄明白了，我们来剖析：从上面可以看出，我们如果想穿过防火墙只要要第一个分片，也就是端口号的信息合乎就可以了。
　　那我们先发送第一个合法的IP分片，将真正的端口号封装在第二个分片中，那样后续分片包就可以直接穿透防火墙，直接到达内部网络主机，通过我的试验，察看攻击进程中交流的数据报片段，发明攻击数据包都是只含一个字节数据的报文，而且发送的顺序已经乱得不可分辨，但对服务器TCP/IP堆栈来说，它仍是可以准确重组的。
　　
　　二、NAT防火墙的袭击
　　
　　这里实在谈不上什么攻击，只能说是穿过这种防火墙的技术，而且须要新的协定支撑，由于这种办法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接，我们称为UDP打洞技巧。
　　UDP打洞技术允许在有限的范畴内建破连接。STUN（The Simple Traversal of User Datagram Protocol through Network Address Translators）协议实现了一种打洞技术可以在有限的情况下答应对NAT行为进行主动检测而后建立UDP连接。在UDP打洞技术中，NAT调配的外部端口被发送给帮助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包，这样就在NAT上面创立了端口映射，双方就此可以建立连接。一旦连接建立，就可以进行直接的UDP通信了。
　　但是UDP连接不可能长久连接。UDP是无连接的并且没有对谁明白的通信。个别地，NAT见了的端口映射，如果一段时光不运动后就是过时。为了坚持UDP端口映射，必需每隔一段时间就发送UDP包，就算没有数据的时候，只有这样才干保持UDP通讯畸形。另外许多防火墙都谢绝任何的外来UDP连接。
　　因为各方面原因，这次没有对树立TCP的连接做研讨，估量是能连接的。
　　
　　三、代办防火墙的攻打
　　
　　代理防火墙运行在利用层,攻击的方式良多。这里就以WinGate为例。 WinGate是以前运用十分普遍的一种Windows95/NT代理防火墙软件，内部用户能够通过一台安装有WinGate的主机拜访外部网络，但是它也存在着几个平安懦弱点。
　　黑客常常利用这些安全漏洞取得WinGate的非授权Web、Socks和Telnet的访问，从而假装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击无比难于被跟踪和记载。
　　导致WinGate保险破绽的起因大多数是治理员不根据网络的实际情形对WinGate署理防火墙软件进行公道的设置，只是简略地从缺省设置装置结束后就让软件运行，这就让攻击者可从以下多少个方面攻击：
　　
　　（一）非授权Web访问
　　某些WinGate版本（如运行在NT体系下的2.1d版本）在误配置情况下，许可外部主机完整匿名地访问因特网。因此，外部攻击者就可以应用WinGate主机来对Web服务器动员各种Web攻击（ 如CGI的漏洞攻击等），同时因为Web攻击的所有报文都是从80号Tcp端口穿过的，因而，很难追踪到攻击者的起源。
　　检测WinGate主机是否有这种安全漏洞的方法如下：
　　（1）以一个不会被过滤掉的连接（譬如说拨号连接）连接到因特网上。
　　（2）把浏览器的代理服务器地址指向待测试的WinGate主机。
　　如果阅读器能访问到因特网，则WinGate主机存在着非受权Web访问漏洞。
　　
　　（二）非授权Socks访问
　　在WinGate的缺省配置中，Socks代理（1080号Tcp端口）同样是存在安全漏洞。与翻开的Web代理（80号Tcp端口）一样，外部攻击者可以利用Socks代理访问因特网。

“对于防火墙多少种攻打方式的研讨”版权归作者所有，转载请著名出处。