OT:SYN FLOODING
Dalibor Toman
dtoman na fortech.cz
Pátek Prosinec 8 21:52:04 CET 2000
>Mimochodem, jakpak se bude trojan tvarit, ze je MS IE? To by pak uzivateli
>jeho MS IE asi moc nefungoval (nebo snad budou sdilet stejny port?)
clovece, vite vubec jak funguje TCPko a jak funguji browsery?
FYI: Browser nebinduje socket na zadnou specifickou adresu ani port. Proste
jej otevre a pripoji se na server. Necha TCP/IP subsystem aby mu nejaky
port (volny) pridelil automaticky.
Z toho vyplyva, ze se trojan nebude tvarit jako browser (alespon ne podle
cisel portu). Proste navaze spojeni se WWW serverem (nebo resp. s necim co
bezi na 80 portu a bude komunikovat HTTP protokolem (aby jej pripadny
analyzator protokolu) neodhalil. Pomoci http si muze stahovat dalsi kusy
kodu, povely co ma delat atd. Pripadne se navazane spojeni pouzije jako
obousmerny kanal (pak ale bude trosku problem zamaskovat provoz aby vypadal
jako HTTP a pokud spojeni pojede prez proxy neni obousmernost a trvalost
kanalu zarucena) a vzdaleny utocnik ma najednou konzolu a muze rucne zadavat
povely...
Ted me napada, ze misto obyc HTTP by jako idealni protokol byl HTTPS ten ma
oproti HTTP nektere "vyhody":
- kanal je sifrovany - cili nikdo nic nevycucha, takze pokud trojan vyrabi
dostatecne rozsypany caj nebude nikomu podezrely (podezrele by bylo pokud by
pakety obsahovaly ASCII data :-) )
- proxy server by mel jen prehazovat data k serveru a nazpatek - cili kanal
je plne duplexni i pres proxy
- proxy si nevsima obsahu a ukoncuje spojeni pouze pokud klient nebo server
ukoncil svoje spojeni (taky se nic neuklada do kese :-)
PS: sledovani ACK packetu rohodne tenle typ spojeni neodhalite - je treba
analyzovat vlastni prenasene pakety. Cili cist uplne vsechno :-)
Zdravi
D. Toman
Další informace o konferenci Linux