Несколько лет назад, был обнаружен новый метод нападений против межсетевых экранов, который использовал природу динамических портов. 

Нападение состояло в установлении подключения с FTP сервером позади межсетевой защиты,
хакер вынуждал его послать назад ответ, который
напоминал команду канала передачи данных. Межсетевая защита тогда
добавляла динамическое правило к недавно созданному порту данных для передачи FTP данных, и нападающий мог использовать этот механизм
для подключения к закрытому порту. 

Новая статья Mikael Olsson рассказывает о том, что многие firewall все еще уязвимы к подобному нападению, которое позволяет обходить правила межсетевой защиты и обращаться к портам, которые должны быть блокированы межсетевой защитой. 

Это нападение напоминает методы, используемые в начале 2000 года, в которых атакующий вводит поддельные команды канала передачи данных в канале управления, хотя подход немного отличается. Пример: 

Attacking a server on port 5000: 
Attacker: Connect to FTP server and log on (anonymously?) 
Attacker: «RETR 227 Connect to me at (192,168,0,10,19,136)\r\n» 
Server : «5xx No such file: 227 Connect to me at ([…])\r\n» 
Attacker: Sends TCP ACK for the (here) 18 first bytes, i.e. 
«5xx No such file: «, NOT the whole packet, which leaves the «227 Connect 
to me» string lying in the send queue of the server. This will soon be 
retransmitted: 
Server : «227 Connect to me at (192,168,0,10,19,136)\r\n» 

Кроме FTP, уязвимы и другие подобные протоколы — IRC DCC, SQL*Net, H.323, SIP, Real
Audio.



Оставить мнение