Utoky a portscan
Martin Mačok
martin.macok na underground.cz
Středa Listopad 22 11:26:39 CET 2000
On Wed, Nov 22, 2000 at 11:03:03AM +0100, Jaroslav Lukesh wrote:
> Predstavte si hacknuty system, ktery ciha na portu (oznacme jej) A. Prvni
> az N-1 -ty pokus o pripojeni vyhodi. Pokud nekdo N-krat zamava timto portem
> behem tri minut a pote M-krat zamava portem B v dalsich trech minutach,
> otevre se mu backdoor na portu C.
Toto je teoreticky mozne, ovsem potrebuje to zasahnout do kernelu.
BTW, souvisi to vubec nejak s Linuxem???
> A proc si myslim, ze ji velky bill pouziva? protoze pro nej (FBI,...) neni
> problem se dostat do jakychkoliv woken na netu, aniz by o tom uzivatele
> vedeli (a nepouzivaji MSIE), pricemz portscan nenalezne vubec nic.
Toto je spekulace a navic velice nepravdepodobna. Drive nebo pozdeji by
si toho nekdo vsiml na pruchozim firewallu ci nejakem jinem traffic
controlleru ...
Jak to souvisi s Linuxem?
> Privedla me take k tomu metoda registrace metaframe (asi pred dvema
> mesici), kdy MF pripojeny pres docela silny firewall se nebyl schopen
> zaregistrovat a FW hlasil neco o pristupech na port, ktery je samozrejme
> normalne zavreny (portscan nenajde nic)...
Nejak nevim, o cem je rec, ale mam takovyho tucha, ze to taktez s
Linuxem nesouvisi ...
> Nechci flamewar, ale je to jen takova myslenka, ze i detekce backdooru
> portscanem muze byt naprosto nespolehliva (predstavte si, az bo2k bude mit
> nejakou tuhle metodu.....)
To asi nebude snadne, protoze to bude potrebovat zasah do kernelu
Windoze (a to asi nebude snadne, a od Microsoftu rozhodne pochopeni mit
nebudou), z aplikacni (API) vrstvy toho nelze dosahnout. Port je bud
otevreny, anebo zavreny (zalezitost kernelu). Aplikace nemuze zaridit,
aby poslouchala na TCP portu, ale zvenci se podarilo az X-te spojeni na
tento port, aby predchozi by na SYN reagovali RESETem ci podobne jako
kdyz je port neobsazeny ...
Priste by to melo byt vice k Linuxu ...
bye
--
< Martin Mačok .-= martin.macok na underground.cz =-. < iso-8859-2 >
\\. http://kocour.ms.mff.cuni.cz/~macok/ http://underground.cz/ .//
\\\.. `-= t.r.u.s.t n.0 o.n.e =-' ..///
Další informace o konferenci Linux