私がプライベートIPアドレスを所有していて、そのために192.168.2.1であり、ルーターに物理的に接続されている場合、その内部インターフェイスは192.168.2.254で、外部インターフェイスは、ISPのDHCPから取得したパブリックIPアドレスですサーバ。
明らかに私のIPはNATを介して翻訳されているので、インターネットを閲覧できます。
では、どのようにして私のコンピュータにハッキングできるのでしょうか?
OSIモデルの観点から見ます。
一般的に言えば、ほとんどのNATボックスは、ファイアウォールのような保護も提供します。それらは着信接続をブロックする傾向があります。
これは、NATの固有または必須のプロパティではありません。 NATを提供するほとんどのコンシューマデバイスもこの種のファイアウォールを提供しているだけです(技術的に言えば、 NATは必ずしもブロックを意味するわけではありません)着信接続の数 。)
それにもかかわらず、NAT着信接続をブロックするデバイス(つまり、それらのほとんど))の場合、ファイアウォールのいくつかの利点が得られます。これにより、誰かが背後のPCに接続するのが難しくなりますNATそして攻撃します。実際には、これは一種の「貧乏人のファイアウォール」を提供し、一般的なクラスの攻撃に対してかなりうまく機能します。
ただし、NATは特効薬ではありません。NATであっても、人々はさまざまな方法でPCを危険にさらす可能性があります。
悪意のあるWebサイトはブラウザーの脆弱性を悪用する可能性があり、悪意のあるメールはメールクライアントの脆弱性を悪用する可能性があります。ソーシャルエンジニアリング攻撃は、パスワードを明らかにしたりマルウェアをインストールしたりする可能性があります。ファイル共有ネットワーク経由でダウンロードしたファイルは、悪意のある、など。
攻撃者は、NATボックスを直接攻撃する可能性があります。たとえば、オープンWifiリンクを悪用したり、ドライブバイファーミングを使用したり、NATボックスの管理者パスワードを推測したりして、等.
攻撃者は、 NATピン攻撃 を使用して、インバウンド接続を許可するようにNATを欺く可能性があります。これは基本的に技術的ですNATボックスの脆弱性。これらのボックスの偶発的な接続ブロックが、場合によっては無効になる可能性があることを示しています。
これらすべてのポイントの詳細については、 への回答をお読みになることをお勧めしますNATセキュリティレイヤーとして重要ですか? と ホームルーターに対するどのような種類の攻撃NAT存在しますか? 。多くの良い情報があります。そこ。
OSIレイヤーを見るのはここでは役に立ちません。インターネットはIPのみをルーティングするため、IPプロトコルの下の層に対して脆弱ではない可能性があります。そして、あなたは潜在的に上のすべての層に対して脆弱です。実際には、ほとんどの脆弱性はアプリケーション層にあります。
むしろ、着信接続と発信接続に分けて問題を調べたいと思います。
NATは、IPアドレスの書き換えを除いて、それらに干渉しません。 NATなしで脆弱である場合、NATの場合、ほとんどの場合ここで脆弱になります。
典型的な脆弱性は、インターネットへのアクセスに使用するアプリケーションのバッファオーバーフローです。特にお使いのブラウザ、またはブラウザのプラグインで。
デフォルトでは、NATはインターネットからのすべての着信接続をブロックします。これは、コンピューターで何らかのサーバーを実行している場合、インターネットからアクセスできないため、そこから簡単に悪用することができないことを意味します。これは、主にWindowsファイル共有などのサーバーで役立ちます。
ただし、これを取得するためにNATは必要ありません。着信接続をブロックするファイアウォールを使用することもできます。
セキュリティの点で主なNATが得られるのは、誤って実行しているサーバーをブロックすることです。
DPの着信/発信接続を定義するのは少し難しいです。しかし、ホールパンチングでは、特定のピアからのメッセージを受信する前にメッセージを送信する必要があるため、これらの接続をこのコンテキストで発信としてカウントします。 =