OT:SYN FLOODING

[Michal.Vymazal na deltax.cz]

To vsechno by samozrejme slo.
Ale jak tu knihovnu vymenite? Pominu-li bl.... , ktery, hlava nehlava,
vyzkousi vse, nac prijde a takovouto vec si sam nainstaluje.
Ten "java tunnel" (chcete-li, pak "pak http tunnel") je zajimavy tim, ze
uzivatel na "zlem" serveru tukne na nejake to tlacitko a pak se budou dit
veci. Timto zpusobem lze skutecne trojana k uzivateli dostat. Ale ted, kdo
je na vine? Prohlizec, implementace JAVY nebo JAVA samotna?
Tak me napada, neni tu nekdo JAVA fun?
Potreboval bych nazor nekoho, kdo by nam vysvetlil, jak presne BrownOrifice
fungoval. Prosim, nepiste sem, ze volal velikonocni vajicko v NN a pouzival
k tomu parametr "Irix-maintenance" ci tak nejak. To uz vime.

To prohozeni SYN a FIN neni spatne. Muzete to nekdo vyzkouset, abychom se
dobrali vysledku?

Michal Vymazal


..............
On Fri, Dec 08, 2000 at 01:39:52PM +0100, Ing. Pavel PaJaSoft Janousek
wrote:
> > Takze toto spojeni musi projit pres firewall (a bude tam zalogovano
> > - rikal jsem, ze budeme logovat vsechny tcp pakety se SYN flagem).
>
>    Nemusi...:-P (byt zalogovano). BTW vite Vy vubec neco o tom, ze
>    SYN flag je pouze v TCP protokolu, co treba UDP jakpak byste to
>    resil?

Presne tak. V jednom z cisel phracku byl clanek o knihovne libnet (pro
Unix) a byl tam priklad na 2 aplikace, ktere si mezi sebou povidali
'obracenym' TCP protokolem. Prohodili si vyznam (tusim) SYN a FIN, coz
muze firewally rovnez pekne 'zmast'. Ruzne dalsi varianty jsou jen na
vasi fantazii.

A kdyz se vratim zpet do aplikacni vrsty, ktera se jevi jako
nejvhodnejsi ke skrytemu protunelovani 'zlych' dat, tak tezko vymyslite
tak chytrou heuristiku, ktera by si poradila s hodne chytrymi
kryptografickymi a steganografickymi protokoly.

--
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 >
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///