OT:SYN FLOODING
Michal.Vymazal na deltax.cz
Michal.Vymazal na deltax.cz
Pátek Prosinec 8 10:41:00 CET 2000
Ale no tak.
Hovorime tu o vecech, ktere s viry nemaji nic, ale nic spolecneho.
Snazime se utocnika (protoze hacker je - domaci kutil, zeby si novinari uz
konecne srovnali nazvoslovi?) najit pomoci analyzy networku. Tato metoda ma
tu vyhodu, ze je OS (a i platform) independent a je mi tedy jedno, jake OS
pouzivaji ti uzivatele v interni siti. Firewally a DMZ bezi samozrejme na
UNIXU nebo Linuxu (zapomnel jsem na Jablicka, pardon). vzhledem k tomu, ze
M$ nechce zverejnovat zdrojove kody sveho OS, jsou ze souteze o firewall a
DMZ vylouceni.
Chceme najit i takovy utok, ktery jeste nebyl pouzit a tedy vam jej zadny
(prednastaveny) sw nerozpozna. Da se to poznat jen logicky a to treba
analyzou trafficu.
A ted k veci - kam dame ten analyzator paketu - do DMZ, do interni site
nebo budeme mit jeden v DMZ a jeden v interni siti?
Michal Vymazal
................
> 1) Antivirus nepozna noveho trojskeho kone, ktereho si sam napisu pro
> konkretni ucely.
> 2) Antivirus nepozna, ze jsem zrovna overflownul Outlook (a nemusi to
> bejt zrovna Outlook) nejakym zlym kodem.
To je jasne, ale najvacsi pocet hackov sa deje uz znamymi a pouzitymi
metodami cez zname diery. V tom pripade bude antivir celkom platny.
>> A IDS (Intrusion Detection System) zas (neviem ako obecne, ja pouzovam
>> snort) analyzuje pakety iduce cez firewall na nejake konkretne zname
>> priznaky roznych utokov a pod.
> 1) momentalne neutocim na firewall.
To je jedno. Sledujem vsetku trafiku iducu skrz.
> 2) uz jsem zminoval, ze tu komunikaci od normalni browseni nerozeznate.
Zase podobne ako hore. Ked to bude nieco nove tak to nespoznam. Ale
ked to uz je zname, tak sa to nejako identifikovat da.
Další informace o konferenci Linux