火力全开:下一代防火墙绕过工具 FireAway
项目地址:https://gitcode.com/tcstool/Fireaway
1. 项目介绍
FireAway
是一个强大的审计和数据泄漏工具,专为对抗下一代防火墙(NGFW)的 AppID 检查规则而设计。它还能轻松应对其他深度包检测防御机制,如数据丢失防护(DLP)和应用感知代理。通过允许连接通过 NGFW 来检测层 7 数据过滤,并利用欺骗应用程序隐藏通信通道,让其在防火墙日志中看起来像正常用户流量。对于 DLP 工具,FireAway
利用小数据块传输,避免触发正则表达式规则,并将数据嵌入合法应用程序的伪造 HTTP 标头中,大多数 DLP 技术都无法检测到。
2. 项目技术分析
FireAway
包含了服务器端和客户端两部分。服务器端可以运行在防火墙之外,监听被认为已关闭的端口,以检查是否存在允许特定应用流量出站的规则。客户端则负责发送数据,可以通过顺序或随机方式分块,甚至伪装成合法应用进行数据传输。此外,FireAway
还实现了基于 HTTP 头部的数据混淆,以躲避异常检测和启发式引擎。
服务器模式:
- 测试模式(0号模式):接收并记录连续或随机生成的测试数据。
- 顺序接收模式(1号模式):按时间戳接收数据分片并记录。
- 随机接收模式(2号模式):依赖于客户端向任意服务器发送的“序列键”。
- 伪造应用接收模式(3号模式):在 HTTP 头部接收 Base64 编码的数据。
客户端模式:
- 测试模式(0号模式):发送不同大小的随机数据来探测防火墙限制。
- 顺序外泄模式(1号模式):将文件分块按顺序发送。
- 随机外泄模式(2号模式):将文件分块并按随机顺序发送,同时需要指定“序列键标识”。
3. 应用场景
FireAway
在网络安全审计、企业内部安全评估以及对抗高级威胁时大有用途。例如,它可以用于测试:
- NGFW 是否存在配置漏洞,允许不安全的应用或数据流通过。
- DLP 和应用感知代理能否有效地阻止敏感信息泄漏。
- 异常检测系统对异常数据流动的反应。
4. 项目特点
- 支持多种模式的服务器和客户端,适应各种情况下的数据传输需求。
- 内置数据混淆策略,有效规避层 7 检测和 DLP 系统。
- 便捷的重新组装工具
fa_assembler.py
可恢复从多个服务器接收到的分段数据。 - 具有伪装成常规网络应用的能力,使数据流量难以被识别。
总的来说,FireAway
提供了一种创新的方法来测试和挑战安全防线,是网络安全专业人员不可多得的工具。如果你正在寻找一种方法来确保你的防火墙或数据防护措施的有效性,那么 FireAway
将是一个值得尝试的选择。立即下载并开始你的安全之旅吧!