Несколько лет назад, был обнаружен новый метод нападений против межсетевых экранов, который использовал природу динамических портов. 

Нападение состояло в установлении подключения с FTP сервером позади межсетевой защиты,
хакер вынуждал его послать назад ответ, который
напоминал команду канала передачи данных. Межсетевая защита тогда
добавляла динамическое правило к недавно созданному порту данных для передачи FTP данных, и нападающий мог использовать этот механизм
для подключения к закрытому порту. 

Новая статья Mikael Olsson рассказывает о том, что многие firewall все еще уязвимы к подобному нападению, которое позволяет обходить правила межсетевой защиты и обращаться к портам, которые должны быть блокированы межсетевой защитой. 

Это нападение напоминает методы, используемые в начале 2000 года, в которых атакующий вводит поддельные команды канала передачи данных в канале управления, хотя подход немного отличается. Пример: 

Attacking a server on port 5000: 
Attacker: Connect to FTP server and log on (anonymously?) 
Attacker: "RETR 227 Connect to me at (192,168,0,10,19,136)\r\n" 
Server : "5xx No such file: 227 Connect to me at ([...])\r\n" 
Attacker: Sends TCP ACK for the (here) 18 first bytes, i.e. 
"5xx No such file: ", NOT the whole packet, which leaves the "227 Connect 
to me" string lying in the send queue of the server. This will soon be 
retransmitted: 
Server : "227 Connect to me at (192,168,0,10,19,136)\r\n" 

Кроме FTP, уязвимы и другие подобные протоколы - IRC DCC, SQL*Net, H.323, SIP, Real
Audio.

Оставить мнение