现在机会所有的公司或多或少、或难或易部署防火墙,当然我们为了国家的稳定和社会的和谐我们China也不例外,在ISP出口边缘部署了各种各样的防火墙、IPS等等安全设备。这也是为什么我们不能访问youtub等一些外国网站的原因。这里我不谈政治,只从技术角度对其进行剖析。
1、Drop Reset Packet 来穿越防火墙
1.1 Firewall send reset packet
Firewall send reset packet来阻止用户访问这是一种部署比较简易的方式,采取的行为比较温和。当China用户访问UK的服务器时,当用户输入敏感字符时(如sex),Firewall检测到这个敏感字符,于是分别发送Reset包给User和Web Server。于是双方访问断开。
1.2 实现阻止的方式
我这里采用的是Cisco的IPS来模拟发送Reset Packet的Firewall 。如图三个标记解释:
WebExploit:访问http web时
Cisco:当http 出现关键字cisco(我自己设置的是cisco)的时候采取行为
Rroduce-alert|reset-tcp-connection:采取的行为是产生告警并发送tcp reset来断开连接
1.3 模拟过程
在网页(如:http://www.h3cisco.cn)中输入关键字cisco时候,IPS开始发送reset packet。
抓包我们可以看到IPS开始分别模拟成user给web server发送reset packet,模拟成web server给user发送reset packet。这样是user 和web server断开连接。
1.4 穿越防火墙
那么我们该怎么穿越呢?通过我前面的介绍,大家应该能发现,防火墙实现阻止的方式是分别给user和web server 发送了reset packet。要穿越的话其实只要我们对防火墙发来的reset包丢弃掉不就可以了么。
好了,概念有了,关键是我们怎么来drop reset packet。要注意,我们的系统为了一些安全的考虑,不得不收取一些reset packet。
在这里我采用了很多设备来模拟drop reset packet,但是好像都不行,花了很长时间最后找到了red had 的防火墙功能来drop reset packet。如图,在linux防火墙策
这里要注意,这里一定要在user 和web server 的前端分别部署linux 防火墙,因为IPS 会分别给两端发送reset(实验中只在user端部署,一直不成功,通过两边抓包才发现两边都发送了)部署拓扑图如下:
Ok,这样当你再输入关键字cisco的时候,从IPS发来的reset packet就会被我们的linux firewall给Drop掉,就实现了,本人亲做成功访问。这个实验真的挺有意思,有兴趣的可以试试(这个实验比较复杂,需要了解很多东西,才能做,但如果你成功做出来,相信你会有一种成功的喜悦)。但是前面我已经说过,发送reset packet 是一种比较温和的阻止方式,如果IPS直接给你drop connection-inline这种严格的阻止方式 ,那么linux firewall再怎么drop也没用了。对于这种方式,该怎么解决,下次介绍。
本文为旋风原创,转载请注明出处,谢谢。