Utoky a portscan

[Pavel Kankovsky]

On Wed, 22 Nov 2000, Jaroslav Lukesh wrote:

> Predstavte si hacknuty system, ktery ciha na portu (oznacme jej) A. Prvni
> az N-1 -ty pokus o pripojeni vyhodi. Pokud nekdo N-krat zamava timto portem
> behem tri minut a pote M-krat zamava portem B v dalsich trech minutach,
> otevre se mu backdoor na portu C.

Nemyslim, ze je to v zasade nova myslenka. Nektere osklive programy uz
treba dokazi komunikovat pres ICMP, coz je take zpusob, jak se vyhnout
detekci nejakym portskenem. Navic to delaji pres raw sockety (nebo
podobnech mechanismy), a tudiz k tomu nepotrebuji spolupraci od
jadra. A je asi jen otazka casu, kdy to "kernel rootkits" zacnou delat
taky, at uz budou pro jakoukoli platformu.


On Wed, 22 Nov 2000, Miroslav PRAGL wrote:

> kdyz jsme u toho - existuje nejaka nadstavba nad ipchains ktera by
> automaticky hazela do nejakeho blacklistu (ci primo do ipchains, hned na
> zacatek :-)) adresy, ktere delaji neco podobneho (pokouseji se konektit na
> port X vice nez Ykrat behem Z minut, pokouseji se konektit na vice nez A
> portu behem B minut) atd?

Pokud nevadi, ze kazdy, kdo muze falsovat odesilaci adresu, muze do toho
listu kohokoli pridat...

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."