Несколько лет назад, был обнаружен новый метод нападений против межсетевых экранов, который использовал природу динамических портов.
Нападение состояло в установлении подключения с FTP сервером позади межсетевой защиты,
хакер вынуждал его послать назад ответ, который
напоминал команду канала передачи данных. Межсетевая защита тогда
добавляла динамическое правило к недавно созданному порту данных для передачи FTP данных, и нападающий мог использовать этот механизм
для подключения к закрытому порту.
Новая статья Mikael Olsson рассказывает о том, что многие firewall все еще уязвимы к подобному нападению, которое позволяет обходить правила межсетевой защиты и обращаться к портам, которые должны быть блокированы межсетевой защитой.
Это нападение напоминает методы, используемые в начале 2000 года, в которых атакующий вводит поддельные команды канала передачи данных в канале управления, хотя подход немного отличается. Пример:
Attacking a server on port 5000:
Attacker: Connect to FTP server and log on (anonymously?)
Attacker: "RETR 227 Connect to me at (192,168,0,10,19,136)\r\n"
Server : "5xx No such file: 227 Connect to me at ([...])\r\n"
Attacker: Sends TCP ACK for the (here) 18 first bytes, i.e.
"5xx No such file: ", NOT the whole packet, which leaves the "227 Connect
to me" string lying in the send queue of the server. This will soon be
retransmitted:
Server : "227 Connect to me at (192,168,0,10,19,136)\r\n"
Кроме FTP, уязвимы и другие подобные протоколы - IRC DCC, SQL*Net, H.323, SIP, Real
Audio.
