OT:SYN FLOODING

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Pátek Prosinec 8 15:03:05 CET 2000 

> Na flame wars skutecne neni tato konference urcena.

	Jdete na to uplne opacne.

> Neodpovedel jste mi na otazku, jak vymenit knihovny.
> Tvrdite, ze vas tunnel (UDP) dostanete skrze firewall, ale zustava u
> tvrzeni. Hned na zacatku jsem navrhoval "zkusebni model" slozeni ze dvou
> firewallu a DMZ mezi nimi.

	Firewallu muzete mit treba deset - jedna z cest jak dostat trojana je
vyuzit mail, dalsi napr. http-tunel apod. (mame vsak i jine zajimave
protokoly, sluzby atd.) - vy jste prohlasil, ze jste v pohode, protoze
logujete SYN flag, ja na to, ze kdyz invertuji komunikaci (tim, ze jsem
trojana uspesne instaloval na systemu - coz nezalogujete pokud to bude
napr. mail), nic nezalogujete a navrh jsem misto TCP jeste UDP, kde
podobne 'stavove' flagy nejsou vubec... (BTW napr. traceroute vyuziva
UDP, vzhledem k tomu, ze ho mam filtrovany - zkuste co udela u Vas
'traceroute merlin.fonet.cz' - jste z toho moudry?)

> S Martinem Macokem jsme tu probirali trojana (jako nejzajimavejsi nastroj
> pro utocnika), ktereho utocnik podstrci do vnitrni site a bavili jsme se tu

	Nikoli, Martin navrhl jeden pomerne spolehlivy zpusob dopravy, je prvni
po ruce, neni ani jinak zajimavejsi nez jiny, ani vyrazne jednodussi...

> o tom, jak tohoto trojana odhalit (plus asi zpusobime spoustu falesnych
> poplachu, ale co se da delat:-).

	Cim bude falesnych vice, tim vice budete na poplachy kaslat - pohadku o
kecalovi, vlku a ovcich znate?

> Nevim, co mate na mysli "slusnym odpovidanim". Nemam ten pocit, ze bych
> nekomu nadaval, ponizoval jej, zatracoval a tak podobne.

	Nepochopil jste mne - myslel jsem rozumnym zpusobem quotovat a v tele
dopisu nechat jen relevantni informace - vse je v NetEtikete a v
META-FAQ nepochybne take...

> Ovsem, ani nemam pocit, ze Vy jste do debaty prispel necim uzitecnym.

	Uzitecnym mozna ne, domnivam se vsak ze aspon osvetou, ze pilire na
kterych se casto stavi bezpecnost (napr. SYN flag) nemusi byt vubec tak
pevne v zakladech...

> Pokud nekdo vite, jak fungoval BrownOrifice, pripadne mate namet jak

	Pokud se nemylim, nekde k nemu existovaly i source - jste-li
programator, pochopite nejspise sam, pokud nejste, nemate moznost se
utokum ucinne branit a celou dobu mym nametum nejspise nerozumite, coz
jsem pochopil az nyni. Proc pisu 'naznakum' - ne vse mam overeno, psal
jsem, ze by to stalo spoustu casu, bohuzel na moje namety ve vetsine
pripadu nebyla reakce, to je blbost, ale proste to nikdo nezkousel
(resp. nepouzil to zatim nikdo ve znamem utoku, ktery zdokumentoval...)

> provadet onu heuristickou analyzu paketu, urcite sem napiste.

	Vyslovim nazor - nijak, protoze neexistuje patricny stroj (ani
teoreticky), ktery by to umel. Presneji neznam a nevim o tom, ze by
existoval - pan Macok Vam to rikal uz drive...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux