Побег через брандмаузер


Рисунок5 reverse.firewall.gif


Если уязвимый узел находится в MDZ-зоне ("демилитаризованной" зоне – выделенном сегменте сети, в котором локальная сеть пересекается с агрессивной внешней средой, где по обыкновению и устанавливаются публичные сервера), администратор может с чистой совестью заблокировать все исходящие соединения, перекрывая червю "кислород" и одновременно с этим беспрепятственно пропуская локальных пользователей в Интернет. Правда, дверь демилитаризованной зоны практически никогда не запирается наглухо и в ней всегда остается крохотная щелка, предназначенная для отправки почты, DNS-запросов и т. д., однако, правильно сконфигурированный брандмаузер ни за что не выпустит пакет, стучащийся в 25 порт, но отправленный не с SMTP-, а в WEB-сервера!

Но даже если исходящие соединения и не блокируются брандмауэром, червь все равно не сможет эффективно распространяться, ведь брандмаузер атакующего узла навряд ли пропустит входящее соединение, поэтому, дальше первого поколения процесс размножения не пойдет. В любом случае, установка новых соединение на нестандартные порты (а уж тем более периодические "поползновения" в сторону узла хакера) так или иначе отображаются в логах, и к хакеру в срочном порядке отравляется бригада карателей быстрого реагирования ("нэхорошо паступаешь дарагой, да?").




- Начало -  - Назад -  - Вперед -