为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

360网络防火墙功能分析

2017-11-24 17页 doc 443KB 18阅读

用户头像

is_995397

暂无简介

举报
360网络防火墙功能分析360网络防火墙功能分析 作者:imiyoo 博客 360网络防火墙功能分析 目录 360安装文件分析 .................................................................................................... 2 360功能测试分析 .....................................................................................................
360网络防火墙功能分析
360网络防火墙功能分析 作者:imiyoo 博客 360网络防火墙功能分析 目录 360安装文件分析 .................................................................................................... 2 360功能测试分析 .................................................................................................... 2 连接监控............................................................................................................ 3 入侵检测............................................................................................................ 4 网马防御测试: ............................................................................................ 5 端口扫描测试: ............................................................................................ 5 ICMP数据包测试(Hping) ..................................................................... 6 程序规则............................................................................................................ 6 智能判断功能分析与测试 .......................................................................... 6 网络规则............................................................................................................ 9 上网信息保护 ............................................................................................. 9 自定义网络规则 ....................................................................................... 10 免打扰模式 ...................................................................................................... 10 ARP防火墙 ...................................................................................................... 11 ARP攻击测试 ........................................................................................... 11 云安全 ...................................................................................................... 13 防护日志.......................................................................................................... 14 云监控日志 ............................................................................................... 14 入侵检测日志 ........................................................................................... 15 ARP防护日志 .......................................................................................... 16 ........................................................................................................................ 16 作者:imiyoo 博客 360安装文件分析 安装完360网络防火墙后,在360的安装目录中,我们看到存在afw目录,其中Afw目录是360网络防火墙的网路驱动文件的存放路径,由于360没有自己的网络驱动,需要借助Outpost Firewall的网络驱动来进行网络监控,因此目录中保存着对Outpost Firewall网络驱动安装的相关配置信息和调用接口,360网络防火墙在安装或卸载的时候会通过接口函数间接地对Outpost Firewall的核心驱动进行相应的操作,通过使用兵刃查看内核模块,可以看到360会安装Outpost Firewall的两个内核级的网络驱动模块afw.sys和afwcore.sys,如图: 360功能测试分析 360网络防火墙提供了防护状态、入侵检测、程序规则、网络规则和防护日志六大功能模块。 其中,主界面默认显示的是“防护状态”, 该模块界面上用左侧主体部位直观显示了四大防护体系,分别是“网络访问云监控”、“上网信息保护”、“入侵检测”以及“ARP防火墙”,而右侧界面上显示的是防护报告和网络状态,“防护状态”将360网络防火墙所有的功能的监控信息直接展示出来,让用户最容易的使用和设置360网络防火墙的功能。 作者:imiyoo 博客 连接监控 列举出当前本机端口的监听状况,以及与端口关联的程序,程序的安全等级,通讯,远程IP:端口,状态,下载流量和上传流量,并且允许用户对当前的网络连接进行管理,360为用户提供四种处理方式:断开连接,结束程序,定位文件和查看文件属性。断开连接就是阻断当前端口的数据通讯;结束程序也就终止使用该端口通讯的程序进程,定位文件可以让用户快速切换到文件所在的路径,查看文件属性也就是平常用户使用右键查看文件信息的功能。 作者:imiyoo 博客 入侵检测 作者:imiyoo 博客 针对不同环境,制定了三种保护等级,严格保护,智能防护和最少防护,每种保护等级只是有选择性的启用现有的30种防御功能;从360网络防火墙的防御规则中可以看出,其过多的防御是针对于拒绝服务攻击检测和对ICMP包的检查,并没有针对溢出型攻击的防御,也就是说对于流行型网马攻击,360防火墙并不能第一时间进行有效的拦截。 网马防御测试: 在没有打补丁的xp系统中,仅仅安装360网络防火墙,然后利用IE访问一个利用Office漏洞挂马的网站 hxxp://a.admio.tk/9/of.htm,,如下图: 这时网马已经运行,并试图连接服务端,也就是入侵检测功能并没有防御住网马的攻击,上面的提示框只是云安全智能检测对非信任程序的网络连接进行提示。 端口扫描测试: 这里使用Nmap对安装有360网络防火墙的目标主机进行各种扫描攻击,下面是扫描的结果, 作者:imiyoo 博客 扫描模式 扫描命令 防御效果 Ping Scan Nmap –sP 192.168.0.113 没有拦截 TCP SYN Scan Nmap –sS 192.168.0.113 –p 100-400 有效拦截 TCP ACK Scan Nmap –sA 192.168.0.113 –p 100-400 没有拦截,目标假死 UDP Scan Nmap –sU 192.168.0.113 –p 100-400 有效拦截 ICMP数据包测试(Hping) 由于不知道360网络防火墙的针对ICMP数据包防范的原理,这里主要通过Hping发送修改状态值后的icmp请求数据包,来看看防火墙的状态提示信息。 扫描命令 防火墙状态 带回显请求的ICMP数据包 Hping -–icmp -–icmptype 8 192.168.0.113 无状态 带时间戳请求的ICMP数据包 Hping –-icmp –-icmptype 13 192.168.0.113 受到MOYARI13攻击 带地址掩码请求的ICMP数据包 Hping -–icmp –-icmptype 17 192.168.0.113 无状态 程序规则 360网络防火墙会对访问网络的程序进行控制,这里提供四种网络规则: 1 智能判断 程序联网时通过云安全中心智能检测是否存在网络危险,拦截风险、木马程序。 2 完全信任,允许程序的所有网络请求 3 完全阻止,不允许程序访问网络 4 自定义访问规则 允许用户对程序更为详细的控制,数据包的流向,协议类型,远程IP地址,端口和本地端口;对符条件的数据通讯放行或阻止 其中智能判断应该属于该功能的特色,对于云安全中标记为正常的文件,在进行网络通讯的时候不会进行弹框提示;如果云安全中没有记录的文件,当其进行网络通讯的时候,这时便会有360安全提示框进行提示。 智能判断功能分析与测试 作者:imiyoo 博客 1 使用CMD,IE或安装遨游浏览器打开网页,进行网络访问,没有进行弹窗提示; 2 对系统的cmd.exe文件利用反汇编工具进行修改,使其md5校验值改变,然后使用其进行网络访问,仍然没有弹窗提示, 3 使用修改版权信息或文件名后的程序进行网络访问,360网络防火墙会对该程序访问网络进行提示,如下图: 4 在装有360网络防火墙的主机中运行灰鸽子远程控制程序,这时360会提示后门木马攻击,如图: 作者:imiyoo 博客 然后通过关掉360网络防火墙,对灰鸽子运行时进行抓包保存,接着打开防火墙,用数据包构造工具对保存的数据包进行发送,360防火墙并没有任何提示,如图: 也就是360不是根据网络数据包的内容来判断危险程序,应该是自身带有病毒扫描功能,对网络访问的程序进行安全扫描。 最后在360防火墙的deepscan目录中,通过对其DLL文件导出函数的查看,可以断定其使用了黑白名单的扫描方法。 作者:imiyoo 博客 程序的智能判断应该是由黑白名单和文件扫描功能共同来实现,不过黑白名单中应该不是单纯的记录文件md5或文件名信息,要想清楚黑白名单匹配的内容还需要逆向分析的帮助。 网络规则 网络规则由两个模块组成,一个是上网信息保护,另一个是自定义网络规则; 上网信息保护 主机名称泄露 防止其它用户看到主机名称 保护共享资源 作者:imiyoo 博客 系统默认开启共享,开启后将关闭共享资源 防止PING扫描 开启后将不对ICMP数据包的REQUEST请求进行响应 允许PING方式探测其它主机 开启时允许本机发送ICMP的REQUEST,并接受其它主机的ICMP的应答信息。 自定义网络规则 允许用户对特定的数据包进行放行或阻止,其中用户可以对数据包的流向,传输协议,远程IP地址,端口,本地端口和网络规则的优先级进行设置,网络规则优先级主要是用来协调,如果网络规则与程序规则有冲突时,程序选取那条规则作为。 免打扰模式 主要为视频和游戏用户提供对网络攻击和入侵地智能判断,避免用户在视频或游戏中被打断。 作者:imiyoo 博客 ARP防火墙 Arp防火墙提供了三种防护功能: 1 ARP攻击包智能过滤 2 网关欺骗攻击拦截 3 IP冲突攻击拦截 ARP攻击测试 主要通过模拟ARP攻击,查看360网络防火墙的防御情况。这里使用WinArpAttacker工具来辅助测试: Arp扫描攻击 首先利用工具ARP扫描功能,扫描局域网机器,这时会发现360网络防火墙提示有ARP扫描攻击,点击确定后发现装有360防火墙的主机确实不在扫描之列。 作者:imiyoo 博客 IP冲突攻击 在入侵检测中关掉ARP主机扫描攻击拦截,使用WinArpAttacker对目标主机进行IP Conflict攻击,装有360网络防火墙的主机能够对其进行正常拦截,网络通讯正常,并有日志记录,记录攻击IP和MAC信息,不过这时记录下来是攻击者伪造的信息。 作者:imiyoo 博客 网关欺骗攻击 对目标主机进行网关欺骗攻击,这时装有360网络防火墙的目标主机能够正常拦截,并记录日志信息,但网络会些许延迟。 云安全计划 允许360网络防火墙将可疑文件自动上报到服务器。 作者:imiyoo 博客 防护日志 记录360网络防火墙拦截网络攻击的信息 云监控日志 记录可疑程序的网络访问详细信息。 作者:imiyoo 博客 入侵检测日志 入侵检测功能拦截到的网络攻击,记录攻击事件,攻击者IP,攻击类型和攻击事件描述 作者:imiyoo 博客 ARP防护日志 记录拦截到局域网的ARP攻击信息,包括攻击者IP,攻击者MAC和攻击次数 总结 360防火墙从功能上讲具备了数据包过滤,应用程序网络行为智能监控,入侵检测,流量监控和ARP防御;其中数据包的过滤是通过利用Outpost提供的网络驱动来实现的;在该款防火墙的所有功能中,比较有特色的功能应该属于应用程序智能判断,不过该功能并没有涉及到数据包的检测,它应该是利用黑白名单和文件扫描来自动识别信任程序,并放任其进行网络访问,对于 作者:imiyoo 博客 不能识别的进行弹框提示,让用户自行处理。 : 作者声明 imiyoo文章均由原创,希望大家在支持的原创作品的同时, 尊重作者的劳动成功,转载或重新发请注明来处,同时确保文 章的完整性。 作者:imiyoo QQ/Gmail: 783467512 imiyoo2010@gmail.com
/
本文档为【360网络防火墙功能分析】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索