Обратное соединение - Reverse connection

А обратное соединение обычно используется для обхода брандмауэр ограничения на открытые порты. Брандмауэр обычно блокирует входящие соединения на открытых портах, но не блокирует исходящие. движение. В нормальном прямом соединении клиент подключается к сервер через сервер открытый порт, но в случае обратного подключения клиент открывает порт, к которому подключается сервер. Наиболее распространенным способом использования обратного подключения является обход брандмауэр и маршрутизатор ограничения безопасности.

Например, задняя дверь запущенный на компьютере за брандмауэром, который блокирует входящие соединения, может легко открыть исходящее соединение с удаленным узлом в Интернете. Как только соединение установлено, удаленный хост может отправлять команды на бэкдор.Инструменты удаленного администрирования (RAT) которые используют обратное соединение, обычно отправляют SYN пакеты к клиенту айпи адрес. Клиент прослушивает эти SYN-пакеты и принимает желаемые соединения.

Если компьютер отправляет SYN-пакеты или подключен к компьютеру клиента, подключения можно обнаружить с помощью команды netstat или обычного прослушивателя портов, такого как «Активные порты». Если подключение к Интернету разорвано, а приложение все еще пытается подключиться на удаленные хосты он может быть заражен вредоносным ПО.Кейлоггеры и другие вредоносные программы сложнее обнаружить после установки, поскольку они подключаются только один раз за сеанс. Обратите внимание, что пакеты SYN сами по себе не обязательно являются причиной тревоги, поскольку они являются стандартной частью всех соединений TCP.

Существуют честные способы использования обратных подключений, например, для удаленного администрирования хостов за брандмауэром NAT. У этих хостов обычно нет общедоступных IP-адресов, поэтому они должны иметь порты, перенаправленные на межсетевой экран, или открывать обратные соединения с сервером централизованного администрирования.

внешние ссылки