Packet Filter Firewall (у даљем тексту PFF) омогућава креирање скупа правила у виду ACL листе на основу којих се пакети или пропуштају или одбацују. Тај скуп правила креира администратор мреже, а она може да садржи следеће елементе:
- IP адреса извора (source address)
- IP адреса одредишта (destination address)
- Порт извора (source TCP/UPD port)
- Порт одредишта (destination TCP,/UPD port)
- Флегови (SYN, ACK, RST, FIN, URG, PSH…)
- Дефинисана правила за одлазне и долазне пакете
- Дефинисана правила за коришћење физичких мрежних интерфејса
Сви PFF имају заједнички проблем: поверење се заснива на IP адресама у пакетима који се тренутно анализирају – PFF нису у стању да памте ништа о пакетима који су претходно обрађени (због тога се и називају мрежне баријере без успоставе стања).
Предности:
- Брзина
- Ефикасност
- Цена
Мане:
- Не испитује се стање/конекција, већ само појединачни пакети
- Не испитује се садржај (payload) пакета, већ само његово заглавље
- ACL листе су често непрегледне и компликоване за администрацију
Напад TCP ACK Scan
Нападач користи TCP пакете са ACK флегом да прикупи информације о мрежној баријери и њеној ACL конфигурацији.
Сврха овог напада, односно, сврха ове врсте скенирања је да се открију информације о типу мрежне баријере и о конфигурацији њеног филтера. Како је то могуће?
По правилу TCP/IP протокола иницијални TCP пакет треба да има постављен SYN флег.
Међутим, ако нападач пошаље пакет са ACK флегом на неки порт, мрежна баријера без стања ће га пропустити јер мисли да је конекција већ успостављена (пошто не зна који су пакети раније анализирани). Када хост иза мрежне баријере добије пакет са ACK флегом на неком порту, закључиће да постоји проблем и одговориће са пакетом са RST флегом. То нападачу говори да је мета мрежна баријера без стања и да је тај порт нефилтриран.
Мрежна баријера са успоставом стања би одмах одбацила сваки несинхронизовани пакет са ACK флегом, јер зна да таква конекција није раније успостављена, па овакво скенирање не би имало смисла.
Прочитајте више о осталим стандардним техникама скенирања ОВДЕ!