使用TCP协议检测防火墙
为了安全,主机通常会安装防火墙。防火墙设置的规则可以限制其他主机连接。例如,在防火墙规则中可以设置 IP 地址,允许或阻止该 IP 地址主机对本机的连接;还可以设置监听端口,允许或阻止其他主机连接到本地监听的端口。
为了清楚地了解目标主机上是否安装防火墙,以及设置了哪些限制,netwox 工具提供了编号为 76 的模块来实现。它通过发送大量的 TCP[SYN] 包,对目标主机进行防火墙探测,并指定端口通过得到的响应包进行判断。
- 如果目标主机的防火墙处于关闭状态,并且指定的端口没有被监听,将返回 [RST,ACK] 包。
- 如果目标主机上启用了防火墙,在规则中设置了端口,阻止其他主机连接该端口,那么在探测时将不会返回响应信息。如果设置为允许其他主机连接该端口,将返回 [SYN,ACK] 包。
- 如果在规则中设置了 IP 地址,并允许该 IP 地址的主机进行连接,探测时返回 [SYN,ACK] 包;当阻止该 IP 地址的主机进行连接,探测时将不会返回数据包。
由于它可以发送大量的 TCP[SYN] 包,用户还可以利用该模块实施洪水攻击,耗尽目标主机资源。
【实例】在主机 192.168.59.131 上对目标主机 192.168.59.133 进行防火墙探测。
1) 向目标主机端口 2355 发送 TCP[SYN] 包,探测是否有防火墙。执行命令如下:
root@daxueba:~# netwox 76 -i 192.168.59.133 -p 2355
执行命令后没有任何输出信息,但是会不断地向目标主机发送 TCP[SYN] 包。
2) 为了验证发送探测包情况,可以通过 Wireshark 抓包进行查看,如图所示。