OT:SYN FLOODING

[Michal.Vymazal na deltax.cz]

Na flame wars skutecne neni tato konference urcena.
Tedy strucne:
Neodpovedel jste mi na otazku, jak vymenit knihovny.
Tvrdite, ze vas tunnel (UDP) dostanete skrze firewall, ale zustava u
tvrzeni. Hned na zacatku jsem navrhoval "zkusebni model" slozeni ze dvou
firewallu a DMZ mezi nimi.
S Martinem Macokem jsme tu probirali trojana (jako nejzajimavejsi nastroj
pro utocnika), ktereho utocnik podstrci do vnitrni site a bavili jsme se tu
o tom, jak tohoto trojana odhalit (plus asi zpusobime spoustu falesnych
poplachu, ale co se da delat:-).
Tento trojan sel skrze http proxy. Viz jedna zprava v archivu.
Nevim, co mate na mysli "slusnym odpovidanim". Nemam ten pocit, ze bych
nekomu nadaval, ponizoval jej, zatracoval a tak podobne.
Ovsem, ani nemam pocit, ze Vy jste do debaty prispel necim uzitecnym.
Chtel bych podekovat vsem, kteri prispeli svymi napady.

Pokud nekdo vite, jak fungoval BrownOrifice, pripadne mate namet jak
provadet onu heuristickou analyzu paketu, urcite sem napiste.

Hezky den preje
Michal Vymazal


................
     Dobre, jeste jednou, snad naposled...

> A jakpak chcete tento tunnel dostat skrze firewall? Tedy, ten skrze UDP.

     Uplne stejne jako si pres Firewall uzivatele vnitrni site z~a'daji'
data z Internetu.

> BTW: Psal jsem nekolikrat o tom, ze se bavime o TCP SYN paketech. Bavili

     Pouze o TCP SYN se bavite vy, ja tvrdim, ze tato podminka neni ani
nutna ani omezujici...;-)

> jsme se o trojanovi, ktery projde skrze http tunnel.

     HTTP je definovano jak pro TCP, tak UDP - staci se podivat do
/etc/services
implementovat?

> Michal Vymazal

     Mohu Vas poprosit, abyste se naucil 'slusne' odpovidat na prispevky do
konference? Ostatni to umi, mohl byste se prizpusobit...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.