OT:SYN FLOODING

Michal.Vymazal na deltax.cz Michal.Vymazal na deltax.cz
Pátek Prosinec 8 11:00:41 CET 2000 

---------------------- Postoupeno kým Michal Vymazal/Deltax dne 08.12.2000
11:05 ---------------------------

Mne to pripada, ze kazdy znas hovori o necem jinem.
Takze priklad:
Pomoci NN se podivam na stranku BrownOrifice a spustim si ten tunnel. Ted
se podivam nmapem na tento muj stroj (jisteze z venku) a uvidim, ze si
otevrel port (treba na 8080 - myslim, ze ta stranka Brown Orifice jej
nabizi jako default). Vidite jeste neco dalsiho? Ja tedy ty sockety, ktere
NN pouziva pro prichozi spojeni nmapem nevidim, ty me nezajimaji. Mne
zajima ta http-proxy na portu 8080. A hlaseni o http-proxy na uzivatelove
stroji,je pro mne duvodem k hlasce adminovi.
Jisteze je to jen princip a chce to dopilovat.

Treba na mem stroji ted vidim toto: spusteno jako nmap IP adresa meho
stroje
Starting nmap V. 2.53 by fyodor na insecure.org ( www.insecure.org/nmap/ )
Interesting ports on moje.pc:
(The 1521 ports scanned but not shown below are in state: closed)
Port       State       Service
139/tcp    open        netbios-ssn
427/tcp    open        svrloc

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Tak, a 139 je netbios a 427 je pro novell klienta. Mam prave ted otevreny NN a bezi mi tu hned nekolik sessions.
A jedna z nich je na underground:-) Nicmene nmap tyto sessions nezobrazuje
Takze - na mem stroji zadna http-proxy nebezi.
Obdobne mohu postupovat i pro ostatni "trojske kone".

Uz si rozumime?

Michal Vymazal


.................
On Fri, Dec 08, 2000 at 09:34:49AM +0100, Michal.Vymazal na deltax.cz wrote:

Coz vam udela kazdy browser, pokud bude chtit vytvorit nejaky
komunikacni kanal smerem ven, kterym posle http zadosti a kterum mu
prijdou http odpovedi. Predstavte si to tak, ze http zadost bude
http://underground.cz/jsemtady.nazdar.html, http odpoved bude
"<html>...vsecko tam smaz a zmiz...</body>".

<osobni poznamka>
Je videt, ze jste si z nasi soukrome "diskuze" v lete nic neodnesl a
nepochopil jste ani princip "zpetneho tunelovani" (je mi tak trochu lito
casu, ktery jsem nad tim stravil, kdyz jsem se vam to snazil asi v 5
emailech vysvetlit).  Porad tvrdite neco o tom, ze to nejakej genialni
firewall pozna; a ze nejake to spojeni zvenci dovnitr firewall zastavi a
ze nejakej scan odhali, ze nekde na klientu posloucha nejaky trojsky
kun, coz odhalite scanem ...  :/
</osobni poznamka>

bye

--
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 >
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///

Další informace o konferenci Linux