تست فايروالها

واضح آرشیو وب فارسی:سایت ریسک: mehdioffflone20-07-2005, 03:16 AMقسمت اول:تست فايروالها(بوسيله Leak Tests) outbound filtering يكي از قسمتهاي مهم در فايروالها است كه وظيفه آن كنترل همه فعاليتهاي به سمت بيرون و مسدود كردن برنامه هاي خراب كار از قبيل تروجانها اسپايورها و اداوارهايي كه سعي به ارتباط با بيرون دارند. بيشتر استفاده كنند گان فايروالها از فايروال خود مطمئن بوده و به اين نكته مهم توجهي ندارند كه در outbound filtering امكان Bypass شدن وجود دارد. براي تست بازدهي فايروالها كارشناسان امنيتي Leak test هايي را توليد كردند كه كار آن شبيه سازي و تقليد از تروجانها براي مشخص كردن امكان Bypass كردن حفاظت فايروال ميباشد بدون اينكه آسيبي به سيستم شما برسه. در اينجا انواع تهديدات و راه هاي نفوذ را نام ميبرم: Substitution : در اين تكنيك برنامه خرابكار سعي ميكنه اسم خودش را با اسم يكي از application هاي مطمئن موجود عوض كنه وخودش را در همان فولدر قرار بده.اين روش فايروالهايي رو كه بر روي اسم فايل Application تاكيد دارند و به Checksum ها توجهي ندارند رو Bypass خواهد كرد Launcher :اين روش سعي داره به وسيله اجراي يك Application مطمئن به اينترنت متصل بشه و فايروال اجاره ارتباط را خواهد داد (البته نه همه آنها) DLL injection :اين روش از يك process مطمئن براي load كردن يك DLL خرابكار استفاده ميكند. بعد از اينكه لود ميشه كدِ دي ال ال قسمتي از پروسس خواهد شدو ميتونه اطلاعات محرمانه روي شبكه انتقال بده. اين تكنيك اغلب بوسيله تروجانها استفاده ميشود. Timing attack : وقتي كه درخواست يه برنامه غير مجاز براي ارتباط با شبكه كشف ميشه بيشتر فايروالها پروسه ي اتصال رو فيريز ميكنند و از كاربر براي اينكه درخواست block شود يا خير سوال ميشود.براي freeze كردن (PID(process identiffier لازم است. برنامه هايي كه از اين تكنيك استفاده ميكنند بعد از اينكه هرقسمت از اطلاعات را فرستادند به صورت بي قاعده پي آي دي خودشونو تغيير ميدهند. Default rule using : بيشتر فاير والها يه سري قانون به صورت ديفالت دارند كه همه ي دسترسي ها به شبكه را بعد از نصب Block نخواهد كرد.برنامه هاي خرابكار از اين قضيه براي Bypass كردن فايروال استفاده ميكنند روشهاي ديگهاي هم وجود دارند مثل: Direct network interface reaching Process memory injection Recursive request ============================================ در اين قسمت چندتا از leak test ها رو با نوع رفتار معرفي ميكنم. 1.TOOLLeaky اين مورد از نوع Launcher ميباشد وبه اين صورت عمل ميكنه كه مرورگر رو با اين Command line باز ميكنه. !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! پنجره اي كه اجرا ميشه مخفي است.اگر مرورگر وب دسترسي به Http پورت 80 را اجازه بده همه اطلاعات به هر ريموت Address ي فرستاده ميشه. اطلاعاتي شامل پسوردهاو... اگر تست با موفقيت انجام بشه به معني آن است كه فايروالتون اپليكشن هايي روكه ديگر app رو اجرا ميكنند چك نميكند و در اين تست نا موفق بوده است. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 2.FireHole اين يكي از نوع Launcher و DLL injection ميباشد. اين يكي هم ميخواد به وسيله مرورگر يه سري ديتا رو به يك ريموت Address بفرسته. براي انجام اين كار يه DLL نصب ميكنه كه اون DLL خودشودرهمان Process به عنوان يك اپليكيشن مطمئن LOad ميكنه اگر تست با موفقيت انجام بشه به معني آن است كه فايروالتون app هاي روكه سعي ميكنن به وسيله اجراي يك app ديگه به شبكه متصل شن كنترل نميكنه و همچنين نسبت به DLL injection اسيب پذيره. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! http://img66.imageshack.us/img66/3755/firehole6bb.jpg 3.wallBreaker اين يكي از نوع Launcher است. اين leak test لول(level) فاير والتون رو مشخص ميكنه و از چهار تست مستقل تشكيل شده. اولين تست براي اجراي iexplore.exe و دسترسي به اينترنت از explorer.exe استفاده ميكنه تست دوم مستقيما اينترنت اكسپلورر رو اجرا ميكنه اما به روشي كه به وسيله بعضي فايروالها احساس نميشه تست سوم يك نوع ديگه از تست اوله. اين تست اول cmd.exe رو اجرا ميكنه بعد Explorer.exe اجرا ميشه ودر آخر Iexplore.exe اجرا ميشه به صورت زير Wallbreaker :arrow: cmd :arrow: explorer :arrow: Iexplore فقط در 2000 وxp تست چهارم يه كم پيشرفته تره به اين صورت كه يك scheduled task بوسيله windows task scheduler ايجاد ميشه وبه اين صورت خواهد بود Wallbreaker :arrow: AT :arrow: svchost :arrow: cmd :arrow: explorer :arrow: Iexplore اين تست يك batch file ميسازه با يك اسم رندم(random) كه بايد در پايان تست توسط كاربر حذف شود .براي اينكه اين تست درست عمل كنه بايد windows task scheduler روشن باشه(يادتون باشه كه تروجانها ميتونند اين كار رو خودشون انجام بدهند) اگر اين تست با موفقيت انجام شد يعني فاروالتون براي مثال به شما هشدار نداد كه Wallbreaker.exe ميخواد دسترسي پيدا كنه به اينترنت بهتره فايروالتون رو بي خيال شويد. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 4.LeakeTest نوع حمله:Substitution اي يكي از اولين leake test هاست.و بر مبناي اين واقعيت ساخته شده كه بعضي فايروالها فقط اپليكيشن هايي رو ايمن ميدونند كه به وسيله كاربر تعريف شده. اين تست نشون ميده كه تغيير نام دادن يك برنامه خرابكار به يك app مجاز به malware اجازه ميده كه فايروال رو باي پس كنه.كه البته ورژن هاي جديد فايروالها app checksum دارند وبه كاربر هشدار ميدهند. پس اگر اين تست با موفقيت انجام بشه يعني فايروال شما فقط به اسم برنامه هاي كه ميخواهند به شبكه وصل شوند نگاه ميكنه وبه نظر من همچين فايروالي بهتره uninstall شود. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 5.pcAudit روش:DLL injection pcaudit بجاي اينكه مستقيما اجرا شود كد خودش رو با استفاده ازdll injection وارد يك برنامه مجاز ميكند و اگر آن برنامه دسترسي كامل داشته باشد pcaudit به راحتي كارش رو انجام ميده. براي اينكه pcaudit درست تست شود : اگر فايروالتون هشدار داد كه explorer.exe سعي به ارتباط با اينترنت دارد اجازه دسترسي بدهيد(always) سپس دوباره دوباره انجام بديد اگر فايروال هشدار نداد يعني نسبت به Dll injection آسيب پذيري دارد. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 6. pcaudit2 روش:DLL injection pcaudit v2 از يك روش متفاوت با ورژن قبلي خود استفاده ميكند اگر تست با موفقيت اجرا شد يعني فايروال شما نسبت به DLL injection آسيب پذير است. يا اگر هم Dll injection Protection داشته باشه كافي نيست. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 7.Thermite Thermite شباهتي به ديگر leak test هايي كه كدشون را به پروسس هاي ديگه از طريق DLL هاشون تزريق ميكنند ندارد.بلكه كدشو مستقيما به پروسس مورد نظر مي فرسته كه براي از فايروالها قابل تشخيص نيست. اگر تست با موفقيت اجرا شد يعني فايروال شما نسبت به process memory injection اسيب پذير است. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 8.CopyCat تقريبا شبيه Thermite عمل ميكنه البته با تفاوت هايي. دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! بقيه رو بدون توضيحات مينوسم. 9.DNStester دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 10.YALTA دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 11.Ghost دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 12.MBTEST دانلود leaktest in itself : mbtest.exe (http://www.firewallleaktester.com/leaks/mbtest.exe) all files + sources: mbtest.zip original author package (http://www.firewallleaktester.com/leaks/mbtest.zip) Winpcap files :files.rar Winpcap files needed for the test (http://www.firewallleaktester.com/leaks/files.rar) following author instructions about Winpcap, you must copy "packet.dll"in your"system32" directory, and "npf.sys" in "system32/drivers 13.OUTBOUND دانلود !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! نتايج تست بروي تعدادي فايروال http://img56.imageshack.us/img56/7864/table1dv.jpg درصد Bypass شدگي فايروالها http://img289.imageshack.us/img289/9416/bypass9br.jpg Mehdi_Best20-07-2005, 08:56 AMمهدي جان ضمن تشكر از زحماتت در مورد توضيحات فوق خواستم بگم كه يك تاپيك هست كه در مورد بحث و بررسي فايروالها است و قرار شده كه تمام بحث هاي فايروال در آنجا انجام گيرد. لطف كنيد مطالب فوق را در آن تاپيك مطرح كنيد. اين هم لينك تاپيك مذكور: http://forum.p30world.com/viewtopic.php?t=13999 سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 371]