| dbo:abstract
|
- Als Reverse Connection wird eine Verbindung zu einem anderen Computer bezeichnet, die dazu dient, eine Firewall zu umgehen. Dabei nutzt man die Eigenschaft der Firewall, dass diese zwar eingehende Verbindungen blockiert, nicht aber ausgehende. Diese Art von Verbindung findet in verschiedenen Situationen Anwendung, etwa in Filesharing-Netzen oder beim Dateitransfer über FTP (sogenannter Passive mode). Der Trick wird allerdings auch von Trojanern genutzt, welche unbemerkt vom Opfer eine Verbindung zum Täter aufbauen. (de)
- A reverse connection is usually used to bypass firewall restrictions on open ports. A firewall usually blocks incoming connections on open ports, but does not block outgoing traffic. In a normal forward connection, a client connects to a server through the server's open port, but in the case of a reverse connection, the client opens the port that the server connects to. The most common way a reverse connection is used is to bypass firewall and router security restrictions. For example, a backdoor running on a computer behind a firewall that blocks incoming connections can easily open an outbound connection to a remote host on the Internet. Once the connection is established, the remote host can send commands to the backdoor.Remote administration tools (RAT) that use a reverse connection usually send SYN packets to the client's IP address. The client listens for these SYN packets and accepts the desired connections. If a computer is sending SYN packets or is connected to the client's computer, the connections can be discovered by using the netstat command or a common port listener like “Active Ports”.If the Internet connection is closed down and an application still tries to connect to remote hosts it may be infected with malware.Keyloggers and other malicious programs are harder to detect once installed, because they connect only once per session. Note that SYN packets by themselves are not necessarily a cause for alarm, as they are a standard part of all TCP connections. There are honest uses for using reverse connections, for example to allow hosts behind a NAT firewall to be administered remotely. These hosts do not normally have public IP addresses, and so must either have ports forwarded at the firewall, or open reverse connections to a central administration server. (en)
- Зворотне з'єднання(англ. reverse connection) зазвичай використовується для обходу обмежень міжмережевого екрану на відкриття портів. Міжмережевий екран зазвичай блокує відкриття портів, проте не чіпає вихідний мережевий трафік. В звичайному з'єднанні a клієнт з'єднується з сервером крізь відчинений порт сервера, але у випадку зворотнього з'єднання, клієнт відкриває порт, із яким з'єднується сервер.Зворотне з'єднання використовується головним чином для обходу обмежень фаєрволів і маршрутизаторів. Наприклад, троянець запущений на комп'ютері, який захищено міжмережевим екраном, що блокує вхідні з'єднання, може легко відкрити вихідне з'єднання із віддаленим хостом в мережі. Після встановлення з'єднання, віддалений хост може надсилати команди троянському коневі.Троянці, що використовують зворотне з'єднання, зазвичай надсилають SYN (TCP) пакет на IP-адресу з якої відбувається атака. Атакуючий стежить за цими SYN пакетами та приймає потрібні з'єднання. Якщо комп'ютер надсилає SYN пакети або вже з'єднаний із комп'ютером атакуючого, з'єднання може бути виявленим за допомогою команди netstat або поширеного слухача портів на подобі “Active Ports”.Якщо з'єднання з Internet немає, проте програма все ще намагається з'єднатися із віддаленим хостом, то це може бути ознакою зараження зловмисним програмним забезпеченням. Кейлоґґери та інші зловмисні програми важче виявити через те, що після встановлення вони не підтримують постійного зв'язку, тобто з'єднуються лише один раз на сесію. Необхідно зазначити, що SYN пакети самі по собі не є причиною для тривоги, оскільки вони є звичайною складовою усіх TCP з'єднань. Існує і поширене правомірне використання зворотнього з'єднання, наприклад для забезпечення віддаленого адміністрування крізь NAT. Ці хости зазвичай не мають публічної IP адреси, тому мусять або використовувати переадресацію портів за допомогою міжмережевого екрану, або відкривати зворотне з'єднання із сервером централізованого адміністрування. (uk)
|
| rdfs:comment
|
- Als Reverse Connection wird eine Verbindung zu einem anderen Computer bezeichnet, die dazu dient, eine Firewall zu umgehen. Dabei nutzt man die Eigenschaft der Firewall, dass diese zwar eingehende Verbindungen blockiert, nicht aber ausgehende. Diese Art von Verbindung findet in verschiedenen Situationen Anwendung, etwa in Filesharing-Netzen oder beim Dateitransfer über FTP (sogenannter Passive mode). Der Trick wird allerdings auch von Trojanern genutzt, welche unbemerkt vom Opfer eine Verbindung zum Täter aufbauen. (de)
- A reverse connection is usually used to bypass firewall restrictions on open ports. A firewall usually blocks incoming connections on open ports, but does not block outgoing traffic. In a normal forward connection, a client connects to a server through the server's open port, but in the case of a reverse connection, the client opens the port that the server connects to. The most common way a reverse connection is used is to bypass firewall and router security restrictions. (en)
- Зворотне з'єднання(англ. reverse connection) зазвичай використовується для обходу обмежень міжмережевого екрану на відкриття портів. Міжмережевий екран зазвичай блокує відкриття портів, проте не чіпає вихідний мережевий трафік. В звичайному з'єднанні a клієнт з'єднується з сервером крізь відчинений порт сервера, але у випадку зворотнього з'єднання, клієнт відкриває порт, із яким з'єднується сервер.Зворотне з'єднання використовується головним чином для обходу обмежень фаєрволів і маршрутизаторів. (uk)
|
