Зворотне з'єднання

Зворотне з'єднання(англ. reverse connection) зазвичай використовується для обходу обмежень міжмережевого екрану на відкриття портів. Міжмережевий екран зазвичай блокує відкриття портів, проте не чіпає вихідний мережевий трафік. В звичайному з'єднанні a клієнт з'єднується з сервером крізь відчинений порт сервера, але у випадку зворотнього з'єднання, клієнт відкриває порт, із яким з'єднується сервер. Зворотне з'єднання використовується головним чином для обходу обмежень фаєрволів і маршрутизаторів.

Наприклад, троянець запущений на комп'ютері, який захищено міжмережевим екраном, що блокує вхідні з'єднання, може легко відкрити вихідне з'єднання із віддаленим хостом в мережі. Після встановлення з'єднання, віддалений хост може надсилати команди троянському коневі. Троянці, що використовують зворотне з'єднання, зазвичай надсилають SYN (TCP) пакет на IP-адресу з якої відбувається атака. Атакуючий стежить за цими SYN пакетами та приймає потрібні з'єднання.

Якщо комп'ютер надсилає SYN пакети або вже з'єднаний із комп'ютером атакуючого, з'єднання може бути виявленим за допомогою команди netstat або поширеного слухача портів на подобі “Active Ports”. Якщо з'єднання з Internet немає, проте програма все ще намагається з'єднатися із віддаленим хостом, то це може бути ознакою зараження зловмисним програмним забезпеченням. Кейлоґґери та інші зловмисні програми важче виявити через те, що після встановлення вони не підтримують постійного зв'язку, тобто з'єднуються лише один раз на сесію. Необхідно зазначити, що SYN пакети самі по собі не є причиною для тривоги, оскільки вони є звичайною складовою усіх TCP з'єднань.

Існує і поширене правомірне використання зворотнього з'єднання, наприклад для забезпечення віддаленого адміністрування крізь NAT. Ці хости зазвичай не мають публічної IP адреси, тому мусять або використовувати переадресацію портів за допомогою міжмережевого екрану, або відкривати зворотне з'єднання із сервером централізованого адміністрування.

Зовнішні посиланняРедагувати