前言
今天突然想到一個問題,在實際滲透工程中,往往主機防火牆策略會配置入站規則,而出站規則是默認允許的。這時候受控主機主動訪問攻擊機,與攻擊機建立連接后回傳的六i狼不會被入站規則攔截嗎?
測試
防火牆設置入站規則為程序
通過設置firefox或者nc入站規則為所有端口,所有情況均為阻止連接。發現正常的nc監聽端口,遠程nc連接是無法建立。但是本地主動連接,回傳的流量數據能接收到。
最后測試了20分鍾,發現入站規則並不會對你主動連接過去回傳的數據流量進行阻止和限制。
結論
跟雲哥說了這個問題,得出結論是,回傳的流量應該是屬於建立連接后收到的數據。而入站規則的阻止連接應該是對於建立TCP連接前,是由發起者決定,如果建立連接的發起者是自己,入站規則不會攔截建立連接后的回傳流量。而如果發起者是遠程主機,建立連接的是遠程主機的話,防火牆會直接中斷連接,本地主機也收不到遠程主機的建立連接的請求了