【网络安全】盘点八种攻击者常用的防火墙绕过方法_如何避开包过滤防火墙检测

防火墙在国内外安全产品市场中的占有率和使用率都名列前茅，根据相关机构研究结果显示，2021 年全球独立防火墙程序市场销售额达到数十亿美元，预计 2028 年将达到百亿美元以上。国内层面，防火墙产业在过去几年同样蓬勃发展，多个头部安全厂商在”防火墙“技术赛道投入海量资源，产品频出，2021 年市场规模达到了亿级美元以上，预计 2028 年将达到 10 亿美元以上。防火墙的市场占有率逐步上升，侧面说明其技术手段正在被市场广泛认可。

从防火墙性能和市场反馈的结果来看，防火墙的确在网络安全领域占据绝对重要地位，但认真思考一下防火墙的功能特性以及目前复杂的网络环境，部署防火墙防御体系的企业，真能如管理者期待一样，彻底高枕无忧了？

**答案显然是否定的！**如果身处当下的网络威胁环境中，企业管理者还认为部署防火墙就能够一劳永逸的话，那么对安全的认知大概还停留在此前的刻板影响中。从现有网络空间复杂度来看，作为保护计算机系统的第一道屏障，防火墙已经很难阻挡相对高级别的网络攻击活动。

再加上近几年网络犯罪分子逐渐组织化、精英化、上下游协同严密、技术先进，对“入侵”部分企业组织基于防火墙搭建的网络安全防疫体系早已得心应手，这些人总能找到一些办法绕过/攻破防火墙，最终侵入目标受害系统，从事非法活动。

从以往披露的安全事件来看，网络攻击者惯用 DNS 隧道攻击、欺骗式网络攻击、非法访问等技术手段绕过防火墙。本文大致盘点一下网络攻击者常用绕过防火墙的“手法”，揭秘他们是如何把“骗、伪装”等套路发挥到炉火纯青的地步。

DNS 隧道攻击

作为网络传输不可或缺的技术，DNS 隧道将其他协议的内容封装在 DNS 协议里面，然后再以 DNS 请求和响应包完成传输数据信息的技术。基于这种属性，防火墙设备为保证用户体验感，很少会对 DNS 流量进行过滤。但与此同时，DNS 也就成为网络攻击绕过防火墙的隐秘通道，因此 DNS 隧道在恶意软件传播过程中起到至关重要的作用。

网络攻击者利用 DNS 协议中的漏洞，通过 DNS 解析器在攻击者和目标之间搭建隐藏连接通道，将非法数据包封装在 DNS 查询中传输，以绕过防火墙的检测和防护，谋求进入目标主机，泄露其数据，甚至以接管 DNS 服务器为“垫脚石”，访问其它网络设备。

目前来看，安全厂商能够有效防止 DNS 隧道攻击的主流手段主要包括使用加密和身份验证/双因素认证（ VPN/双因素验证），寄希望于通过使用加密协议和身份验证机制来保护通信数据的机密性。此外，企业还可以借助实施严格访问控制策略、安全审计和监控等手段，最大程度上保护内部网络。

欺骗式网络攻击

欺骗式攻击是网络安全领域中很常见的一种攻击方法，威胁攻击者通过伪造或隐藏攻击者的真实身份和数据包的来源，对目标网络系统进行欺骗、欺诈或窃取机密信息。通常情况下，攻击者伪造源地址（主要是 MAC 地址、IP地址、DNS 域名），将自身数据包伪装成合法数据包发送到受害目标系统，从而绕过防火墙等防御机制。

以 IP 地址欺骗攻击为例，威胁攻击者修改并发送一个“假冒”的 IP 地址，通过欺骗路由器、ARP 缓存等手段，使防火墙认为流量包是从另一台合法主机中发出，从而在目标系统接收到攻击者发送的数据包时误认为其有合法来源，以此绕过安全检查。

欺骗式攻击会引起严重的安全事件，不仅可能会导致窃取主机密码、嗅探网络流量、还存在冒充他人身份进行欺骗等许多安全风险。为降低遭受欺骗式攻击的概率，企业应尽量关闭不常用的协议和端口、除部署防火墙、入侵检测系统和网络隔离等技术手段外，设定更加合理的安全策略和权限管理，对敏感信息进行特殊加密和保护。

利用失效的访问控制

失效的访问控制是指由于配置错误、漏洞或其他原因而导致防火墙无法正确地执行访问控制策略，这可能会为攻击者提供机会绕过防火墙的保护，进而访问未经授权的资源或执行恶意行为。在防火墙中，访问控制策略用于决定哪些网络流量被允许通过或阻止。

通常情况下，管理员会根据安全需求设置相应的规则，以限制特定 IP 地址、端口或协议的访问。然而，当这些策略存在失效或缺陷时，网络攻击者可能利用这些漏洞来绕过防火墙。此外，防火墙可能忽略了内部网络的威胁，使得内部用户可以绕过访问控制规则，直接访问未经授权的资源或执行恶意行为。

为了防止访问控制绕过，管理员应定期审查和更新防火墙的访问控制策略，确保其与实际安全需求相符合，及时修复防火墙软件或设备存在的漏洞，并保持其最新的补丁版本。重要的是，组织内部网络和外部网络之间设置严格的隔离和访问控制，以减少内部攻击的风险。加强对用户身份验证和访问权限管理的控制，确保只有合法用户能够访问受限资源，最后要实施入侵检测系统和日志监控，及时发现异常活动并采取相应的应对措施。

暴力非法访问

如何界定非法访问？未经授权或超出许可范围的个人或实体对计算机系统、网络或其他信息资源进行访问，都可以归类到非法访问的范畴。碰到技术手段高超的网络威胁组织，不仅仅能够绕过防火墙，几乎所有其它防御体系都可能被打穿。

网络攻击者“盯上”一个目标受害系统后，使用端口扫描工具、漏洞扫描器等工具，绞尽脑汁找到系统存在的漏洞，绕过防火墙或者其它类型网络防御手段的安全措施，以达到自身攻击目的（一般大都是窃取数据或是加密数据）。

如何防止非法访问？企业组织可强化访问控制（使用强密码、多因素身份验证等措施来确保访问者的身份合法性，限制访问权限和特权的分配）；定期审计（对系统和网络进行定期审计，发现异常访问行为，并及时采取相应措施）；更新和修补漏洞（及时安装系统、应用程序的安全更新和补丁，修复已知漏洞，减少被攻击的风险可以通过定期更新系统和应用程序的补丁）。最后，企业组织需要意识到禁用不必要服务和协议和对网络数据包进行监控，能够有效降低自身安全风险。

SQL 注入攻击

SQL 注入无疑是网络攻击者最常用的攻击方法之一，瞄准潜在攻击目标之后、通过对其注入恶意的 SQL 代码（一些命令、或者包含恶意软件的代码段），绕过其系统或数据库的防火墙系统。网页的应用数据和后台数据库中的数据进行交互时会采用 SQL， SQL 注入是将 Web 页面的原 URL、表单域或数据包输入的参数，修改拼接成 SQL 语句，传递给 Web 服务器，进而传给数据库服务器以执行数据库命令。

如果 Web 应用程序的开发人员对用户所输入的数据或 cookie 等内容不进行过滤或验证(即存在注入点)就直接传输给数据库，就可能导致拼接的 SQL 被执行，获取对数据库的信息以及提权，发生 SQL 注入攻击。一旦 SQL 注入成功，网络攻击者就可以获取目标系统的部分权限，“浏览”数据库中存储的文件、内部资料、员工信息等目标数据。不仅如此，网络攻击者还能对数据库进行操作，随意修改或删除数据库中的数据。

SQL 注入攻击是目前 web 应用网络攻击中最常见的手段之一，安全风险较高、影响范围广、破坏性大，在一定程度上甚至超过缓冲区溢出漏洞。更坏的消息是，目前市场上的防火墙又不能对 SQL 注入漏洞进行有效的检测和防范。（防火墙为使正常网络应用程序访问服务器端的数据，必须允许从互联网到 Web 服务器的正向连接），因此一旦 web 网络应用程序存在注入漏洞，攻击者就可以获取访问数据库的权利进而获得数据库所在服务器的访问权。

鉴于 SQL 注入攻击对企业的网络安全威胁巨大，业界也投入更多的“资源”解决其安全性，现阶段，主流的防范方法包括分级管理（对用户进行分级管理，严格控制用户的权限）、参数传值（程序员在书写SQL语言时，禁止将变量直接写入到SQL语句，必须通过设置相应的参数来传递相关的变量）、漏洞扫描（为了更有效地防范SQL注入攻击，作为系统管理除了设置有效的防范措施，更应该及时发现系统存在SQL攻击安全漏洞。）等方式。

分片攻击

众多绕过防火墙的技术手段中，分片攻击也是网络攻击者惯用的手段之一。

分片攻击中，网络攻击者会发送具有特殊构造的、大量的 IP 数据包片段到目标系统，IP 数据包片段中，所有的分片包用一个分片偏移字段标志分片包的顺序，其中只有第一个分片包含有 TCP 端口号的信息。当 IP 数据包通过分组过滤防火墙时，防火墙只根据第一个分片包的 Tcp 信息判断是否允许通过，而其他后续的分片不会被防火墙检测，直接让它们通过。

这时候，网络攻击者就可以通过发送一个合法的 IP 分段数据包，欺骗防火墙，其它带有恶意软件的数据包片段便可以趁机进入目标系统，开展网络攻击活动。不仅如此，一旦大量数据包片段被网络攻击者设计成非常小且重叠的，在重新组装时可能会导致目标系统的失效、崩溃或资源耗尽。有些攻击者通过故意创建特殊的片段，以利用目标系统的处理漏洞，达到小型 DDoS 的效果。

对付分片攻击，安全厂商一般是通过部署专门针对分片攻击的安全设备或软件，进行实时检测和过滤恶意分片，或者持续限制来自外部网络的 IP 分片重组，并对网络流量进行适当的过滤和验证。

特殊编码

网络犯罪分析还会使用特殊编码绕过防火墙，其原理在于利用应用程序对数据的处理方式与代理、防火墙或数据库解释数据的方式存在差异。当不同层之间的差异存在时，特殊编码可以被用来成功绕过防火墙的检测和过滤机制。

这种编码技术的使用是基于逻辑思维的，通过深入理解数据传输和处理的方式，找到其中的漏洞并利用它们来规避安全限制。因此，特殊编码成为了一种常用的手段来进行网络攻击和绕过系统防护的方法。现阶段主要应用的编码包含 URL 编码、双 URL 编码、Unicode 编码、UTF-8 编码等。

各组织应当提高网络警觉性，时刻关注特殊编码的演变，研究并采取相应的防御措施来保护系统和数据的安全。

数据包嗅探（Packet Sniffing）

网络攻击这绕过防火墙的目的是啥？无疑是进入受害者系统，进入系统最快方式是什么？肯定是直接使用凭据登录。所以很多网络攻击者渐渐转向通过拦截并分析目标系统往来的网络流量包，直接的获取登陆凭证。

一般情况下，网络攻击者在计算机上安装嗅探软件，嗅探器可以获取网络上流经的数据包。用集线器 hub 组建的网络是基于共享的原理的，局域网内所有的计算机都接收相同的数据包，而网卡构造了硬件的“过滤器“ ，通过识别 MAC 地址过滤掉和自己无关的信息，嗅探程序只需关闭这个过滤器，将网卡设置为“混杂模式“就可以进行嗅探，以此获取目标系统的敏感信息，例如登录凭证、信用卡号等。

那么该如何防止数据包嗅探？实体组织可通过使用加密通信协议、数据包加密、虚拟专用网络（VPN）和传输层安全性（TLS）等安全措施来保护数据包不被黑客嗅探。