In che modo il malware esegue un buco UDP?

I want to know how do malwares like ZeroAccess hole punch the network without using a external server?

ZeroAccess utilizza una struttura P2P senza un singolo server centrale. Mentre la maggior parte dei nodi può trovarsi dietro un NAT, alcuni super nodi devono essere non dietro un NAT, in modo che possano essere raggiunti dagli altri nodi (dietro NAT) e dalle comunicazioni di inoltro. Ciò significa che i nodi dietro NAT semplicemente aprono una connessione dall'interno verso uno qualsiasi dei super nodi esterni e utilizzando questa connessione i dati possono essere rinviati al nodo. Questo è il solito modo di funzionamento delle reti P2P e non specifico per ZeroAccess.

Questo documento di Sophos descrive ZeroAccess e il loro modello di comunicazione in maggiori dettagli.

Puoi guardare prima a ciò che STUN è. Successivamente, puoi utilizzare una libreria e provarla.

Da rfc:

1. Applicability Statement

   This protocol is not a cure-all for the problems associated with NAT. It does not enable incoming TCP connections through NAT. It allows incoming UDP packets through NAT, but only through a subset of existing NAT types. In particular, STUN does not enable incoming UDP packets through symmetric NATs (defined below), which are common in large enterprises. STUN's discovery procedures are based on assumptions on NAT treatment of UDP; such assumptions may prove invalid down the road as new NAT devices are deployed. STUN does not work when it is used to obtain an address to communicate with a peer which happens to be behind the same NAT. STUN does not work when the STUN server is not in a common shared address realm. For a more complete discussion of the limitations of STUN, see Section 14.