Utoky a portscan

Martin Mačok martin.macok na underground.cz
Středa Listopad 22 11:26:39 CET 2000


On Wed, Nov 22, 2000 at 11:03:03AM +0100, Jaroslav Lukesh wrote:
> Predstavte si hacknuty system, ktery ciha na portu (oznacme jej) A. Prvni
> az N-1 -ty pokus o pripojeni vyhodi. Pokud nekdo N-krat zamava timto portem
> behem tri minut a pote M-krat zamava portem B v dalsich trech minutach,
> otevre se mu backdoor na portu C.

Toto je teoreticky mozne, ovsem potrebuje to zasahnout do kernelu.
BTW, souvisi to vubec nejak s Linuxem???

> A proc si myslim, ze ji velky bill pouziva? protoze pro nej (FBI,...) neni
> problem se dostat do jakychkoliv woken na netu, aniz by o tom uzivatele
> vedeli (a nepouzivaji MSIE), pricemz portscan nenalezne vubec nic.

Toto je spekulace a navic velice nepravdepodobna. Drive nebo pozdeji by
si toho nekdo vsiml na pruchozim firewallu ci nejakem jinem traffic
controlleru ...

Jak to souvisi s Linuxem?

> Privedla me take k tomu metoda registrace metaframe (asi pred dvema
> mesici), kdy MF pripojeny pres docela silny firewall se nebyl schopen
> zaregistrovat a FW hlasil neco o pristupech na port, ktery je samozrejme
> normalne zavreny (portscan nenajde nic)...

Nejak nevim, o cem je rec, ale mam takovyho tucha, ze to taktez s
Linuxem nesouvisi ...

> Nechci flamewar, ale je to jen takova myslenka, ze i detekce backdooru
> portscanem muze byt naprosto nespolehliva (predstavte si, az bo2k bude mit
> nejakou tuhle metodu.....)

To asi nebude snadne, protoze to bude potrebovat zasah do kernelu
Windoze (a to asi nebude snadne, a od Microsoftu rozhodne pochopeni mit
nebudou), z aplikacni (API) vrstvy toho nelze dosahnout. Port je bud
otevreny, anebo zavreny (zalezitost kernelu). Aplikace nemuze zaridit,
aby poslouchala na TCP portu, ale zvenci se podarilo az X-te spojeni na
tento port, aby predchozi by na SYN reagovali RESETem ci podobne jako
kdyz je port neobsazeny ...

Priste by to melo byt vice k Linuxu ...

bye

-- 
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 > 
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///


Další informace o konferenci Linux