OT:SYN FLOODING
Michal.Vymazal na deltax.cz
Michal.Vymazal na deltax.cz
Pátek Prosinec 8 10:30:12 CET 2000
Rekneme, skener interni site ma seznam portu, na kterych je povolena
komunikace v interni siti. Takze kdyz si "vyfoti" nejaky ten uzivatelsky
stroj a tam bude otevreny port 1032 (kterey nebude mit na seznamu
pouzivanych portu), tak je to duvod pro hlasku adminovi.
Skener by mohl klienty "ocuchavat" v nejakych pravidelnych intervalech -
pozor na zahlceni trafficu v te interni siti.
Analyzator paketu nemuze byt na firewallu - mohl by ten firewall pretizit a
navic (z bezp. hlediska) na firewallu by to asi bylo riziko.
Michal Vymazal
...............
>Mate pravdu, to spojeni mezi trojskymi koni je naprosto normalni, ovsem
jen
>pro tu komunikaci, ktera jde skrze firewally ven. Trojskeho kone by mel
>(jenze principielne bohuzel ne hned) dostat ten skener ve vnitrni siti.
Jak ?!?! analyzou pouziteho protokolu a zjistenim, ze se nepodoba nicemu
povolenemu (dns,http, ftp???)
> Nas
>trosky kun (tedy klient na uzivatelove stroji) si totiz musi nejake to
>spojeni otevrit a nejspis si otevre nejaky ten volny port.
>otevrit obsazeny je ponekud problem :-)
Dejme tomu, ze source port je 1032 a destination je 80 - co z toho poznas?
>Tohle by skener
>mel odhalit (samozrejme, pokud se na ten stroj vubec podiva).
myslim, ze ne dokud nebude obdaren umelou inteligenci...
>Samozrejme
>problem. Jak delat heuristickou analyzu paketu ve vnitrni siti, aniz bych
>zahltil provoz. Napada nekoho z vas neco?
?? Analyzator by snad jen ocuchaval pakety - nic by neposilal takze jediny
problem je jak k nemu ty pakety dostat. Pokud by bezel na firewallu je po
problemu..
Další informace o konferenci Linux