OT:SYN FLOODING

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Pátek Prosinec 8 13:39:52 CET 2000 

> Budete vubec navazovat spojeni?:-) Ja obecne predpokladam spojeni typu
> klient (trojsky kun) a server (nekde venku). Jeden z tech dvou musi navazat
> spojeni. Je to tak? Jisteze, trojsky kun nemusi nikde poslouchat. Pokud
> neposloucha (a tedy ma dano, kdy se ma "probudit" - cas, akce apod.), pak
> jej samozrejme nmap neuvidi (videl by jej pouze tehdy, pokud by klenta
> skenoval v dobe aktivni cinnosti trojanu - i trojan nekdy muze mit smulu).

	Prominte, ale jste docela naivni... - Vase tvrzeni opirate o
paradigmata, ktera nemusi byt vubec dodrzena, napr. takove, ze z IP
adresy klienta na server vubec nemusi platit standardni IP komunikace
(takze treba SYN flag muze mit presne opacnou funkci a nebo spojeni
navazu pres ICMP 'dobre' postaveny paket) a presto bude vse funkcni -
cely Inet se bude chovat furt stejne, pouze 2 komunikujici pocitace si
budou povidat po svem (a kupodivu si budou bezvadne rozumet)...

> Takze toto spojeni musi projit pres firewall (a bude tam zalogovano - rikal
> jsem, ze budeme logovat vsechny tcp pakety se SYN flagem).

	Nemusi...:-P (byt zalogovano). BTW vite Vy vubec neco o tom, ze SYN
flag je pouze v TCP protokolu, co treba UDP jakpak byste to resil?

> Mimochodem, jakpak se bude trojan tvarit, ze je MS IE? To by pak uzivateli
> jeho MS IE asi moc nefungoval (nebo snad budou sdilet stejny port?)

	Proc? MS IE bude uplne stejne funkcni, jenom se skryte udela spojeni
(napr. nahrazenim jednoho pitomeho DLLka) ktere vubec neodpovida
standardni IP komunikaci, ac se tak bude tvarit - jak jsem psal o par
prispevku drive - potrebujete heuristickou analyzu v kontextu, jinak
jsou Vase pozorovani k nicemu...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux