[ LUGOS ] flood detection

Pet Avg 22 12:37:27 CEST 1997

Damjan Lampret wrote:
> 
> On Aug 21,  2:02pm, Andrej Presern wrote:
> > Subject: Re: [ LUGOS ] flood detection
> > Damjan Lampret wrote:
> > >
> > > heya !
> > >
> > > se je morda kdo ze ubadal z detektiranjem icmp, syn floodov ? Skeniranjem
> > > portov ?
> >
> > Scan portov se da izvesti brez da kakrsen koli program izve za to. Ce
> > zelis logirati to, moras to izvesti v omrezni kodi v kernelu.
> >
> ne ne. verjetno si me razumel, da detektiram to, ce nekdo na moji masini
> poskusa skenirat ali floodat ven.
> 
> Tedva programcka pregledujeta pakete, ki priletijo po mrezi. zato zadetektirata
> tudi pakete, ki niso namenjeni hostu, na katerem teceta.
> tipicna uporaba bi bila :
> 
> inet ---------lokalna mreza----------------------
>                      |      |      |         |   |
>                      |      |      |         |   |
>                   hostA   hostB  hostC    hostD  hostE
> 
> recimo, ce na hostu hostE teceta oba detektorja, in nekdo flooda iz ineta
> hostA, potem se to tudi ugotovi. Enako je, ce recimo nekdo flooda iz hostC na
> inet itd.

Ne, mislil sem tako, kot ti. Scan portov se da narediti tako, da noben
program na masini, ki jo skeniras, ne dojame tega. Ce zelis to detektirati,
moras uporabiti posebne metode, kot je filtriranje paketkov v promiskuitetnem
nacinu ethernet kartice oz. logiranje v kernelu (npr. razni tcp wrapperji ti
tega NE bodo pokazali, prav tako to ni mogoce, ce nimas mreze na skupnem
kablu itd..).

Andrej