Una conexión inversa se utiliza generalmente para eludir las restricciones del cortafuegos en los puertos abiertos . [1] Un cortafuegos normalmente bloquea las conexiones entrantes en los puertos cerrados, pero no bloquea el tráfico saliente . En una conexión directa normal, un cliente se conecta a un servidor a través del puerto abierto del servidor , pero en el caso de una conexión inversa, el cliente abre el puerto al que se conecta el servidor. [2] La forma más común de utilizar una conexión inversa es para eludir las restricciones de seguridad del cortafuegos y del enrutador . [3]
Por ejemplo, una puerta trasera que se ejecuta en una computadora detrás de un firewall que bloquea las conexiones entrantes puede abrir fácilmente una conexión saliente a un host remoto en Internet. Una vez que se establece la conexión, el host remoto puede enviar comandos a la puerta trasera. Las herramientas de administración remota (RAT) que utilizan una conexión inversa generalmente envían paquetes SYN a la dirección IP del cliente . El cliente escucha estos paquetes SYN y acepta las conexiones deseadas.
Si un equipo envía paquetes SYN o está conectado al equipo del cliente, las conexiones se pueden descubrir utilizando el comando netstat o un detector de puertos común como “Active Ports”. Si la conexión a Internet se cierra y una aplicación sigue intentando conectarse a hosts remotos, es posible que esté infectada con malware. Los keyloggers y otros programas maliciosos son más difíciles de detectar una vez instalados, porque se conectan solo una vez por sesión. Tenga en cuenta que los paquetes SYN por sí mismos no son necesariamente un motivo de alarma, ya que son una parte estándar de todas las conexiones TCP.
Existen usos honestos para el uso de conexiones inversas, por ejemplo, para permitir que los hosts detrás de un firewall NAT se administren de forma remota. Estos hosts normalmente no tienen direcciones IP públicas y, por lo tanto, deben tener puertos reenviados en el firewall o abrir conexiones inversas a un servidor de administración central.