OT:SYN FLOODING

Michal.Vymazal na deltax.cz Michal.Vymazal na deltax.cz
Pátek Prosinec 8 13:23:04 CET 2000


Co vlastne chcete, aby ten vas trojsky kun delal?
Budete vubec navazovat spojeni?:-) Ja obecne predpokladam spojeni typu
klient (trojsky kun) a server (nekde venku). Jeden z tech dvou musi navazat
spojeni. Je to tak? Jisteze, trojsky kun nemusi nikde poslouchat. Pokud
neposloucha (a tedy ma dano, kdy se ma "probudit" - cas, akce apod.), pak
jej samozrejme nmap neuvidi (videl by jej pouze tehdy, pokud by klenta
skenoval v dobe aktivni cinnosti trojanu - i trojan nekdy muze mit smulu).

Takze toto spojeni musi projit pres firewall (a bude tam zalogovano - rikal
jsem, ze budeme logovat vsechny tcp pakety se SYN flagem).
Otazka inteligence paketoveho analyzatoru je vseobecne v plenkach (hlaseni,
pane Date). Jisteze je to spojeno s lidskymi spravci, jejich vyspelosti,
pravomocemi apod. Nicmene obecne, lze to pomoci kombinace firewallu (co
neni povoleno, je zakazano), analyzy networku (na ten http trojan jsem
zvedav) a bdeleho spravce (copak to mame v logu?).

Mimochodem, jakpak se bude trojan tvarit, ze je MS IE? To by pak uzivateli
jeho MS IE asi moc nefungoval (nebo snad budou sdilet stejny port?)

Michal Vymazal


...................
On Fri, Dec 08, 2000 at 11:00:41AM +0100, Michal.Vymazal na deltax.cz wrote:
> Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
>
> Tak, a 139 je netbios a 427 je pro novell klienta. Mam prave ted
> otevreny NN a bezi mi tu hned nekolik sessions.  A jedna z nich je na
> underground:-) Nicmene nmap tyto sessions nezobrazuje Takze - na mem
> stroji zadna http-proxy nebezi.  Obdobne mohu postupovat i pro ostatni
> "trojske kone".

Ne. Trojsky kun nemusi nikde poslouchat. Zadny nmap vam neodhali, ze vas
MS IE (trojsky kun se bude tvarit, jako ze je MS IE) nejak interpretuje
http odpovedi, ktere mu chodi ze stranek, po kterych browsi.

> Uz si rozumime?

Ja vam rozumim, ale vy tomu nerozumite. :(






Další informace o konferenci Linux