|
“溢出”一直以來都是很多黑帽子黑客最常用(或者說是最喜歡用)的手段之一�,隨安全文化的逐步普及��,大量的公開shellcode(“溢出”代碼)與溢出攻擊原理都可以隨意在各大的網絡安全網站中找得到���,由此衍生了一系列的安全隱患...小黑黑使用它們來進行非法的攻擊���、惡意程序員使用它們來制造蠕蟲等等...而網絡防火墻作為人們最喜歡的網絡安全“設施”之一�����,它又能如何“攔截”這一類型的攻擊呢�?
目前大多的防火墻系統都是針對包過濾規則進行安全防御的�����,這類型的防火墻再高也只能工作在傳輸層�,而溢出程序的shellcode是放在應用層的�����,因此對這類攻擊就無能為力了��。打個比方:前段時間比較火熱的IIS WEBDAV溢出漏洞��,若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺)���,它是在正常提供HTTP服務的情況下產生的溢出漏洞����,若在不打補丁與手工處理的情況下一臺防火墻又能做到什么呢�?相信你除了把訪問該服務器TCP80端口(提供正常地HTTP服務的情況下)的包過濾掉以外就什么都不會去做了�,當然���,這樣也會使你的HTTP服務無法正常地開放(等于沒有提供服務...)����。下面就以這個漏洞為“論點&題材”�,說說自己的解決方案�。
1)對希望保護的主機實行“單獨開放端口”訪問控制策略
所謂“單獨開放端口”就是指只開放需要提供的端口��,對于不需要提供服務的端口實行過濾策略���。打個比方��,現在我們需要保護一臺存在WebDAV缺陷的WEB服務器���,如何能令它不被駭客入侵呢�����?答案是:在這臺WEB服務器的前端防火墻中加入一個“只允許其他機器訪問此機的TCP80端口”的包過濾規則(至于閣下的防火墻能否實現這樣的規則就另當別論了)��。加上這個規則又會有怎樣的效果呢�����?經常做入侵滲透測試的朋友應該比我還清楚遠程溢出的攻擊實施流程了吧���?
��、偈褂萌毕輶呙杵髡业酱嬖谶h程溢出漏洞的主機-》②確認其版本號(如果有需要的話)-》③使用exploit(攻擊程序)發送shellcode-》④確認遠程溢出成功后使用NC或TELNET等程序連接被溢出主機的端口-》⑤得到SHELL
使用“單獨開放端口”策略的解決方案對整個遠程溢出過程所發生的前三步都是無能為力的�����,但來到第四步這個策略能有效地阻止駭客連上有缺陷主機的被溢出端口�����,從而切斷了駭客的惡意攻擊手段�。
優點:操作簡單�����,一般的網絡/系統管理員就能完成相關的操作����。
缺點:對溢出后使用端口復用進行控制的EXPLOITS就無能為力了�;對現實中的溢出后得到反向連接控制的EPLOITS也是無能為力����;不能阻止D.o.S方面的溢出攻擊�����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商���!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
