如何使tcp包和udp包穿透網路防火牆

來源:互聯網
上載者:User

通過本文的httptunnel 技術同時逃過了防火牆的屏蔽以及系統的追蹤實驗,我們可以看到網路安全僅僅依靠某種或某幾種手段是不可靠的,同時對安全系統的盲目性依賴往往會造成巨大的安全隱患。希望通過本文能引起管理員對網路安全防護系統的思考。

什麼是http暗藏通道

什麼是區域網路安全,系統管理員怎樣才能保障區域網路的安全?這是一個不斷變化的安全概念,很長的一個時期以來,在區域網路與外界互聯處放置一個防火牆,嚴格控制開放的連接埠,就能在很大程度上掌握安全的主動權,方便的控制網內外使用者所能使用的服務。比如,在防火牆上僅僅開放80,53兩個連接埠,那麼無論是內部還是外面的惡意人士都將無法使用一些已經證明比較危險的服務。

但要注意一點,防火牆在某種意義上是很愚蠢的,管理員對防火牆的過分依賴以及從而產生的懈怠情緒將不可避免的形成安全上的重大隱患,作為一個證明,"通道"技術就是一個很好的例子,這也是本文要討論的。

那麼什麼是通道呢?這裡所謂的通道,是指一種繞過防火牆連接埠屏蔽的通訊方式。防火牆兩端的資料包封裝在防火牆所允許通過的資料包類型或是連接埠上,然後穿過防火牆與對端通訊,當封裝的資料包到達目的地時,再將資料包還原,並將還原後的資料包交送到相應的服務上。舉例如下:

A主機系統在防火牆之後,受防火牆保護,防火牆配置的存取控制原則是只允許80連接埠的資料進出,B主機系統在防火牆之外,是開放的。現在假設需要從A系統Telnet到B系統上去,怎麼辦?使用正常的telnet肯定是不可能了,但我們知道可用的只有80連接埠,那麼這個時候使用Httptunnel通道,就是一個好的辦法,思路如下:

在A機器上起一個tunnel的client端,讓它偵聽原生一個不被使用的任意指定連接埠,如1234,同時將來自1234連接埠上的資料指引到遠端(B機)的80連接埠上(注意,是80連接埠,防火牆允許通過),然後在B機上起一個server,同樣掛接在80連接埠上,同時指引80連接埠的來自client的轉寄到原生telnet服務連接埠23,這樣就ok了。現在在A機上telnet本機連接埠1234,根據剛才的設定資料包會被轉寄到目標連接埠為80的B機,因為防火牆允許通過80連接埠的資料,因此資料包暢通的穿過防火牆,到達B機。此時B機在80連接埠偵聽的進程收到來自A的資料包,會將資料包還原,再交還給telnet進程。當資料包需要由B到A返回時,將由80連接埠再回送,同樣可以順利的通過防火牆。

實際上tunnel概念已經產生很久了,而且很有可能讀者使用過類似的技術,比如下面的網址http://www.http-tunnel.com。它是一個專業提供tunnel服務的公司,通過他們的線上tunnel server,區域網路內的使用者可以使用被防火牆所屏蔽的ICQ,E-MAIL,pcanywhere, AIM,MSN, Yahoo,Morpheus,Napster等等諸多軟體。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

11.11 Big Sale for Cloud

Get Unbeatable Offers with up to 90% Off,Oct.24-Nov.13 (UTC+8)

Get It Now >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。