[轉]更改主機（HOST）文件引發(fā)的思考

xue2

更改主機（HOST）文件引發(fā)的思考
——防火墻URL過濾的無奈

呂躍
圖 截圖顯示防火墻的ＵＲＬ過濾規(guī)則起了作用，但被利用了
近日，公司的部分用戶反映無論訪問百度還是谷歌結果都被連接到一個垃圾網站。經過現(xiàn)場查看，我們發(fā)現(xiàn)網絡連接及DNS配置都沒有問題，根據(jù)經驗判斷應該是系統(tǒng)目錄下的主機（HOST）文件出了問題。打開該文件，果然發(fā)現(xiàn)其中添加了兩條記錄：
202.*.*.*  
www.baidu.com
202.*.*.*  
www.google.cn
一目了然，原來是HOST文件被惡意更改，將百度與谷歌域名強行與該惡意網站IP地址對應，從而導致用戶訪問百度、谷歌時被連接至該網站。
顯然，這次的HOST文件的修改是一種被動行為（首先感染病毒，然后病毒更改文件內容），并非用戶的主觀意愿。但如果是用戶主動更改HOST文件記錄，那是否會對公司防火墻定義的URL過濾規(guī)則形成一種挑戰(zhàn)呢？
ＨＯＳＴ文件
我們先來了解一下什么是HOST文件。在Windows2000/XP系統(tǒng)中，HOST文件位于C:\Winnt\System32\Drivers\Etc 目錄。該文件其實是一個純文本的文件，用普通的文本編輯
軟件
（如記事本等）都能打開，它記錄主機名與IP地址的映射關系。用戶在通過主機名（域名）訪問網絡資源時，系統(tǒng)首先會查找本機HOST文件內是否有該主機名（域名）記錄，如果有該記錄，就調用該記錄的IP地址映射；如果沒有，再向DNS
服務器
提出域名解析請求。該文件最大的作用就是加快域名解析。同時，很多網管以及安全
軟件
（如360安全衛(wèi)士等）也把這個文件作為屏蔽惡意網站的工具，也就是將惡意網站的域名與127.0.0.1做成映射。
防火墻ＵＲＬ過濾
除了HOST文件，我們還需要了解URL過濾。目前市場上大部分防火墻都具有URL過濾功能，在某種程度上也解決了應用層訪問控制的問題，使網管人員可以更靈活地運用相關策略對企業(yè)網絡進行更好的安全維護。
所謂URL過濾，就是防火墻通過檢測用戶發(fā)送的http請求數(shù)據(jù)包中的HOST字段是否與URL過濾規(guī)則中定義的URL相符，并按照過濾規(guī)則進行處理。處理的方式一般有兩種：規(guī)則內全部禁止，其余全部允許；規(guī)則內允許訪問，其余全部禁止。
只有當判斷用戶的連接請求是http請求時，防火墻才會檢測HOST字段。防火墻判斷用戶的連接請求為http請求的原則一般是TCP目的端口為80端口。
前文提到，URL過濾一般有兩種處理方式：URL列表內禁止，其余全部允許；URL列表內允許，其余全部禁止。對于前者，人們可以可以利用nslookup等工具首先得到被禁止網站的IP地址，然后通過直接訪問IP地址繞開URL過濾規(guī)則的限制。而后者，由于允許訪問的網站數(shù)量有限，即使想通過IP地址訪問不被允許的網站也無法得逞。很多網管認為這種方式比較有效。
但是通過這次惡意更改HOST文件事故，筆者就有了文章開頭提到的疑問，為了通過驗證得到答案，筆者做了如下嘗試。
疑問見證
首先，在防火墻（型號：天融信NFW4000）中規(guī)定主機A只能訪問
http://www.dlqx.gov.cn
（大連市氣象局）。而主機A用戶嘗試訪問
http://www.dlqx.gov.cn
（大連市氣象局）網站失敗。主機A用戶通過Nslookup等工具得知
http://www.gjj.dl.gov.cn
的IP地址為218.25.171.98，然后該用戶打開C：\WINDOWS\system32\drivers\etc
\hosts（操作系統(tǒng)安裝在C盤）文件，并添加記錄行：218.25.171.98   
www.dlqx.gov.cn
。
該用戶再次訪問
www.dlqx.gov.cn
，結果打開的是大連公積金管理中心的網站，對其進行抓包，結果如圖1所示（注意字體放大行）。從抓包截圖中，我們清楚地看到，目的IP為
www.gjj.dl.gov.cn
的IP地址是218.25.171.98，但是HOST字段卻是
www.dlqx.gov.cn
，而抓包工具獲取的數(shù)據(jù)其實就是防火墻獲取的數(shù)據(jù)。很顯然，防火墻的URL過濾規(guī)則起作用了，但是被利用了。
在對以上結果驚嘆之余，我們不妨冷靜地思考一下：為什么防火墻的URL過濾又一次令我們失望了？那是不是所有不被允許的網站都可以通過修改HOST文件來進行訪問呢？換句話說，通過修改HOST文件訪問那些不被允許的網站還需要其他條件嗎？
其實，熟悉建立Web
服務器
的讀者都應該清楚，Web
服務器
也有校驗主機頭的功能，也就是Web
服務器
會校驗用戶發(fā)送過來的請求中的HOST字段內的URL是否與
服務器
創(chuàng)建的主機頭相符。
感興趣的讀者可以將上述嘗試中
www.gjj.dl.gov.cn
作為被允許訪問的網站，你會發(fā)現(xiàn)將
www.dlqx.gov.cn
的IP地址與
www.gjj.dl.gov.cn
做映射后并不能訪問
www.dlqx.gov.cn
，原因應該是
www.dlqx.gov.cn
服務器
配置了主機頭校驗。
但是，并不是互聯(lián)網上所有的
服務器
都配置了主機頭校驗的！
我們知道，Internet是信息的海洋，其中存在大量不良站點。那如何有效地管理對Internet的訪問呢？其實，使用防火墻URL過濾功能是數(shù)據(jù)過濾的一種常用并且實用的方法，可以有效實現(xiàn)對一些黃色、反動站點或者信息的過濾，同時此方法在一定程度上也可以防范一些黑客攻擊。
URL過濾是防火墻技術中一個重要的訪問控制方法，同時還衍生出一系列技術，如URL重組和URL分類
服務器
連動等。但URL過濾也會經常出現(xiàn)失效的問題，就比如前文中提到的在訪問前先使用nslookup等工具先解析出IP地址后再用IP訪問，這樣URL域名過濾就會失效。而接下來筆者所體驗的HOST文件自定義的方法，顯然繞過了URL過濾，即在域名解析進行限制之前，本地主機已經根據(jù)Windows系統(tǒng)的默認設置（HOSTS文件優(yōu)先于DNS解析）跳過了DNS解析這個過程，這對于沒有設置Web站點主機頭檢測的主機是完全可以訪問的。
綜上所述，由于URL過濾發(fā)生在應用層，因此普通用戶干預的能力大大增強，從而導致URL過濾存在著諸多無奈。
但是我們不能因此而放棄URL過濾功能，只要網管人員能夠根據(jù)工作的實際情況，結合運用防火墻強大的傳輸層控制能力，控制用戶在主機上的權限，還是可以最大限度地滿足用戶需求的。但同時也說明，防火墻產品的技術與功能也是有待加強的。
廠商回應
北京天融信網絡安全技術
有限公司客戶服務部 劉揚
這個問題實際是一個運用局部和整體的策略來實現(xiàn)同一個安全目的的情況。由于ＵＲＬ過濾只是對數(shù)據(jù)包內容進行檢查，并按照防火墻的策略進行過濾，它沒有去檢查實際的目的地址。因此只要我們先通過 ｎｓｌｏｏｋｕｐ獲取我們需要控制的網址的ＩＰ地址，把這個地址定義成一個具體對象，然后應用到防火墻訪問策略里就可以解決文章里的問題。
另外，用天融信的ＴｏｐＤｅｓｋ桌面安全系統(tǒng)來監(jiān)視對應的主機ＨＯＳＴ文件是否修改，可以從根本上解決這個問題。
因此我們可以說，單靠一種措施是不夠的，結合多種方法可以使客戶的網絡相對安全得多。
專家點評
榮新ＩＴ培訓中心ＣＩＯ 張琦
ＵＲＬ過濾有一個比較大的缺陷，在ＨＴＴＰ／１．１中，域名部分是通過ＨＴＴＰ頭的ＨＯＳＴ字段來獲取的，其他字段均不能保證能正確獲取域名。而對這個字段有的
服務器
并不檢查，因此不能保證獲取正確的域名。
ＵＲＬ失效時，用戶可以檢查一下防火墻是否提供了ＤＮＳ過濾，即在域名解析時就進行限制，在ＤＮＳ請求包中就把域名提取出來進行判斷。通常ＵＲＬ只限制了ＨＴＴＰ，而限制ＤＮＳ則把該域名對應的所有服務都可以限制住。
對安全防御來說，有些
軟件
防火墻安裝客戶端代理，或者利用一些ＨＯＳＴ鎖定工具，這樣就可以有效地控制病毒感染ＨＯＳＴ文件，并繞過ＵＲＬ過濾的事故發(fā)生了。


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u1/38200/showart_1906437.html