11/09/19 15:37:53.50 ft7ol091
>>190 >>192
すいません お二人はご専門みたいだからちょっと教えて下さい
>>190 の例だと たとえば感染PCから外への80ポートが開いてたとして
まずマルウェアの側から抜き取り用外部PC:80へ接続, HTTPで送信,
それへの応答という形でstateful inspectionを通過してマルウェアへのコマンド送信など
と言うことですよね?
つまり>>1 の「外部から指令が来た」というのは端折ってそう書いただけで
実際には先に外向きの接続があった,(ファイアウォールで開いてたのは外向き80のみだった)ということでしょうか
>>1の字面どおり「指令が来た」が最初だとすると 内向きのポートが開いてることになって
そんな呑気な構成だったら怖いなあと思ったのですが, さすがにそんなことは無かろうという訳ですね