所谓的构造包方式,主要是在于使用底层的TCP/IP包构造工具,通过各种命令向防火墙有目的地发送数据包,通过观测防火墙的处理结果等技术来测试防火墙系统完整性的一种测试方式。
在防火墙中,iptables脚本里的一条蹩脚的条目,就能导致系统非常脆弱。 防火墙有没有正确配置各种选项,构造包可以用来解答并验证。
预先假设这些测试都是在安装了SuSE 专业版9.0的Linux机器上执行的,测试用的是标准的Iptabels防火墙规则。本例是检查防火墙是否开放了80端口。
本例首先向80端口发送一个数据包。根据我们SuSE防火墙的设置,这个数据包应被安静地丢弃。通常情况下,如果向不在监听服务的TCP端口发送数据包,发送主机会收到一个连接重置包。具体过程如下:运行hping(这是构造包程序的名称),通过相应的命令,我们可以看到目的主机已经收到hping所发送的构造包。最后我们发现,结果显示,数据包被发送以后,确实被目标主机接收,但是被安静地丢弃,测试正常,成功证明防火墙接受我们的测试条件。
构造包是测试防火墙规则集的一个有效的工具。其对入侵检测系统同样能够进行和防火墙一样复杂和细粒度的测试。
(T113)
