Специалисты изучают, как Skype обманывает файрволы

    Битва сисадминов и разработчиков Skype продолжается с переменным успехом. Компания Heise Security опубликовала подробную инструкцию для системных администраторов с разъяснением, каким образом P2P-программе Skype удается работать из-за файрвола, вопреки настройкам системы безопасности.

    Для этого разработчики Skype используют ряд специальных техник. Во-первых, программа обманывает файрвол, сообщая ему об уже установленном соединении, после чего начинает передачу UDP-пакетов. В заголовках этих пакетов, в отличие от пакетов TCP, содержится информация только об IP-адресе и порте, ничего больше. Во-вторых, для передачи «секретной» информации между собеседниками используется сервер Skype, а потом два ПК устанавливают между собой прямое соединение между UDP-портами, так что файрвол не может его блокировать.

    Подобную технику под названием “UDP hole punching” для обмана файрволов используют и другие P2P-программы.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 10

      0
      гениально! я в восторге!
        +1
        Это говорит только о примитивной логике распространенных NAT'ов (в отличие от спец-прокси).
        Но это не значит, что в Firewall нельзя закрыть UDP полностью, а открывать только для желательных UDP-протоколов (DNS и т.п. по конкретным портам). И вообще, если задача админа стоит в блокировке Skype, то и начинать нужно блокировки его управляющих TCP-соединений, чьи параметры также хорошо известны. В этом случае до NAT'а и уязвимости его дефолтных политик для UDP дело даже не дойдет.
        –1
        Всё гениальное просто.

        Сегодня от нечего делать протестировал связь на Google Talk, слышимость просто превосходная - я со своего ноутбука позвонил на ПК моего товарища.

        Так что у меня сейчас есть два варианта звонков с ПК на ПК, и Skype в том числе, который я использую всегда.

        У кого безлимитный Интернет, дешевле звонить друг другу на ПК :-)
          0
          удивительное рядом. кстати, что, skype требует права администратора для работы? если нет - как же тогда они шлют raw пакеты (в linux, например)?
            0
            В linux как раз можно разрешить формирование сырых пакетов обычному пользователю. Как с *bsd быть - вот вопрос :)
              0
              Скайп нормально работает под фрибсд. А "сырые" пакеты ему зачем? :)
                0
                См. выше. Для отправки фейковых пакетов. Хотя я не очень понимаю зачем вышестоящему оратору фейковые пакеты.

                Насчет "нормально работает" - да, под пятеркой и шестеркой, правда? Потому что под четверкой он не заработал - какие то проблемы были с реализацией pcm.
                  0
                  И я к тому же, фейковые пакеты там не нужны.
                  А у pcm вечные экзистенциальные проблемы и в новых шестёрках. С одной картой может работать, а с другой — виснуть. Но Скайп я на четвёрке не пробовал, честно.
            +1
            Хабахабр мне напоминает комсомолку.

            Фаервол никто не обманывает. В данном случае используется свойство Full conic NAT пропускать обратно всех, а не только тех, кому пакет был послан. Все это описано в соответствующих стандартах.

            Что такое "сообщая об установленном соединении" в случае UDP мне вобще не понятно.
            • НЛО прилетело и опубликовало эту надпись здесь

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое