OT:SYN FLOODING
Dalibor Toman
dtoman na fortech.cz
Pátek Prosinec 8 09:50:43 CET 2000
>Mate pravdu, to spojeni mezi trojskymi koni je naprosto normalni, ovsem jen
>pro tu komunikaci, ktera jde skrze firewally ven. Trojskeho kone by mel
>(jenze principielne bohuzel ne hned) dostat ten skener ve vnitrni siti.
Jak ?!?! analyzou pouziteho protokolu a zjistenim, ze se nepodoba nicemu
povolenemu (dns,http, ftp???)
> Nas
>trosky kun (tedy klient na uzivatelove stroji) si totiz musi nejake to
>spojeni otevrit a nejspis si otevre nejaky ten volny port.
>otevrit obsazeny je ponekud problem :-)
Dejme tomu, ze source port je 1032 a destination je 80 - co z toho poznas?
>Tohle by skener
>mel odhalit (samozrejme, pokud se na ten stroj vubec podiva).
myslim, ze ne dokud nebude obdaren umelou inteligenci...
>Samozrejme
>problem. Jak delat heuristickou analyzu paketu ve vnitrni siti, aniz bych
>zahltil provoz. Napada nekoho z vas neco?
?? Analyzator by snad jen ocuchaval pakety - nic by neposilal takze jediny
problem je jak k nemu ty pakety dostat. Pokud by bezel na firewallu je po
problemu..
Dalibor Toman
Další informace o konferenci Linux