OT:SYN FLOODING

Michal.Vymazal na deltax.cz Michal.Vymazal na deltax.cz
Pátek Prosinec 8 13:48:35 CET 2000 

A jakpak chcete tento tunnel dostat skrze firewall? Tedy, ten skrze UDP.
BTW: Psal jsem nekolikrat o tom, ze se bavime o TCP SYN paketech. Bavili
jsme se o trojanovi, ktery projde skrze http tunnel.
A ted, jakpak nahradite to DLL v MSIE?
Z IP adresy klienta (vnitrni sit) na firewall musi platit standardni IP
komunikace. Jaksi - proto tam ten firewall mame, aby vse nestandardni
neproslo ven (pokud mozno ani dovnitr:-)
O heuristicke analyze se tu bavime neustale. Ovsem, tezko ji bude delat
firewall. Musi ji delat nejake nezavisle zarizeni.

Michal Vymazal



........
     Prominte, ale jste docela naivni... - Vase tvrzeni opirate o
paradigmata, ktera nemusi byt vubec dodrzena, napr. takove, ze z IP
adresy klienta na server vubec nemusi platit standardni IP komunikace
(takze treba SYN flag muze mit presne opacnou funkci a nebo spojeni
navazu pres ICMP 'dobre' postaveny paket) a presto bude vse funkcni -
cely Inet se bude chovat furt stejne, pouze 2 komunikujici pocitace si
budou povidat po svem (a kupodivu si budou bezvadne rozumet)...

> Takze toto spojeni musi projit pres firewall (a bude tam zalogovano -
rikal
> jsem, ze budeme logovat vsechny tcp pakety se SYN flagem).

     Nemusi...:-P (byt zalogovano). BTW vite Vy vubec neco o tom, ze SYN
flag je pouze v TCP protokolu, co treba UDP jakpak byste to resil?

> Mimochodem, jakpak se bude trojan tvarit, ze je MS IE? To by pak
uzivateli
> jeho MS IE asi moc nefungoval (nebo snad budou sdilet stejny port?)

     Proc? MS IE bude uplne stejne funkcni, jenom se skryte udela spojeni
(napr. nahrazenim jednoho pitomeho DLLka) ktere vubec neodpovida
standardni IP komunikaci, ac se tak bude tvarit - jak jsem psal o par
prispevku drive - potrebujete heuristickou analyzu v kontextu, jinak
jsou Vase pozorovani k nicemu...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

---------------------------------------------------------------------------
Meta-FAQ (odhlá?ení, archív, FAQ a dal?í): http://www.linux.cz/mailing-list
TIP: Jak na lokalizaci? Czech Howto! http://www.penguin.cz/czech-howto/

Další informace o konferenci Linux