Статичность означает, что пакетный фильтр манипулирует отдельными пакетами, не учитывая при этом принадлежности пакета к какому-либо соединению, ни, тем более, сопоставляя данные нескольких (взаимосвязанных между собой) соединений.
Следующий пример, иллюстрирует этот основной недостаток пакетных фильтров. Если правила разрешают обращение по протоколу UDP из внутренней сети, то для нарушителя достаточно задать «правильный» порт источника, чтобы подключиться на порты 1024 и выше.
С протоколом TCP ситуация в целом лучше, чем с UDP, но проблема остаётся. Например, правила в следующей таблице обеспечивают возможность отправки почты с помощью внешнего SMTP-сервера.
При этом соединения разрешены только изнутри, но прохождение ответов с 25-го порта (с любого внешнего узла) разрешено, даже если не было запроса. Таким образом, нарушитель может посылать большое количество ответов, создавая тем самым ситуацию бесполезного расходования вычислительных ресурсов.
Практическая реализация этой идеи - троянец, клиентская часть которого подключается к серверной, используя только АСК-пакеты (http://www.ntsecurity.nu/toolbox/ackcmd/). Поскольку пакетный фильтр блокирует подключения к узлу, основываясь только на наличии флага SYN в заголовке, АСК-пакеты будут пропускаться.
