OT:SYN FLOODING
Zdenek Wagner - Ustav chemickych procesu AV
wagner na cesnet.cz
Pátek Prosinec 8 15:27:00 CET 2000
On Fri, 8 Dec 2000 Michal.Vymazal na deltax.cz wrote:
>
> To jste si neco z tech predchozich mailu spatne vylozil:-)))
>
> Jde o to, ze ony "lepsi" firewally (uz to tu bylo zmineno) umeji (mimo
> jine) poznat, kolikrat se urcity klient (klient jako stroj s IP adresou)
> pokousi otevrit spojeni pro danou sluzbu. Tak a ted, nas trojan se na
> klientovi vydava za prohlizec (rec byla o MS IE) a nic netusici uzivatel
> ted zavola to spravne MSIE a firewall pozna, ze dve ruzne aplikace se mu
> snazi tvrdit, ze ony jsou prohlizec (principielne receno). Tim nastane mnou
> popisovany poplach.
Kdyz se divam na stranku s obrazky, otevre si Netscape nekolik spojeni na
stejny port stejneho serveru soucasne. Navic mam HTTP/1.1 a mam povoleno
KeepAlive, takze spojeni jeste zustanou nejakou dobu otevrena, co kdybych
jeste neco ze stejneho serveru chtel... Nekdy mi neco chodi podivne, tak
si soucasne pustim treba HotJavu. A jak ten firewall pozna, ze to jsou 2
aplikace? Podle hlavicky User-Agent? Ve svem perlovskem skriptu si do ni
mohu napsat cokoliv. Podle cisla portu klienta? Netscape ma bezne otevrene
4 soucasne na stejny prot stejneho serveru. A co kdyz mam opravdu soucasne
pusteny Netscape, HotJavu a Lynx? Ne ze bych to delal porad, ale neni to
vzacne.
Zdenek Wagner
e-mail: wagner na mbox.cesnet.cz or wagner na icpf.cas.cz
see also http://www.icpf.cas.cz/wagner/
http://members.xoom.com/z_wagner/
Další informace o konferenci Linux