OT:SYN FLOODING

Michal.Vymazal na deltax.cz Michal.Vymazal na deltax.cz
Pátek Prosinec 8 15:10:39 CET 2000


To jste si neco z tech predchozich mailu spatne vylozil:-)))

Jde o to, ze ony "lepsi" firewally (uz to tu bylo zmineno) umeji (mimo
jine) poznat, kolikrat se urcity klient (klient jako stroj s IP adresou)
pokousi otevrit spojeni pro danou sluzbu. Tak a ted, nas trojan se na
klientovi vydava za prohlizec (rec byla o MS IE) a nic netusici uzivatel
ted zavola to spravne MSIE a firewall pozna, ze dve ruzne aplikace se mu
snazi tvrdit, ze ony jsou prohlizec (principielne receno). Tim nastane mnou
popisovany poplach.
Uvedomte si, ze model firewall A, DMZ a firewall B jsme stanovili hned na
zacatku a jen jeden! ctenar si spravne vsimnul, ze jsme nemluvili o typu
firewallu a upozornil na to. Jisteze projdete skrze paketovy filter, ale to
prece neni firewall, to je paketovy filtr.
Profesionalni firewally umeji castecne onu analyzu paketu, o ktere jsme tu
mluvili.

Jinak, modifikace jadra, to by asi byl pro nas trojan dost neresitelny
orisek.

Michal Vymazal


.........

Proboha uz prestante. Vzdyt vubec nerozumite TCP/IP a chcete tady neco
psat.

Treba:

nmapem jdou videt pouze "otevrena" _poslouchajici_ spojeni. Navazana
spojeni videt nejsou. Take nejsou videt spojeni, ktera poslouchaji
spojeni pouze z vybranych adres.


MS IE a obecne zadny browser nepouziva pevna cisla portu a vzdy vola
system, aby mu nejake pridelil. A to dokonce vzdy pri otevirani
libovolneho spojeni (to vede k vyssi stabilite: predchozi spojeni
nemusi byt na druhe strane uspesne ukonceno).

Pri patricne modifikaci jadra take nepotrebuji pro otevirani spojeni
nastaveny SYN flag, muzu to tunelovat pres ICMP (echo, reply, MTU
Path discovery, netmask).

PS: Doporucuji pro zacatek par knih. napr:

Spafford, Ganfinkel: Bezpecnost v Unixu a v Internetu v praxi
Zwicky, Chapman: Firewally
Cheswick, Bellovin: Firewally a bezpecnost Internetu

RFC: 792, 793, jeste hromadu dalsich.

Pak se muzete vratit a diskutovat o vlastnostech tunelu, TCP/IP a
podobnych vecech.


--
-------------------------------------------------------------------------
David Rohleder                           davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------






Další informace o konferenci Linux