Statefull Packer Inspection against any kind of Malware!

Giorgos Keramidas keramida at ceid.upatras.gr
Wed Aug 11 21:18:45 EEST 2004


On 2004-08-11 20:25, ricudis at itc.auth.gr wrote:
> >> Sto linux tha mporouse na ginei implemented kati paromoio se morfi
> >> software omws px me to iptables i einai entelows adynato?
> >
> > Αδύνατον δεν είναι.  Ο Στασινόπουλος σου εξήγησε περίπου (όχι επειδή
> > δεν ήξερε περισσότερες λεπτομέρειες, αλλά επειδή βαρέθηκε να γράφει)
> > πως γίνεται.  Απλά το hardware που θα χρειαζόσουν για να κάνεις κάτι
> > τέτοιο για ένα μέσο υπολογιστή δε μετριέται σε
> > μηχανήματα... μετριέται σε ορόφους γεμάτους με clusters παράλληλων
> > υπερυπολογιστών.
>
> Kala re paidia, toso expensive operation einai pia to signature matching?
>
> To clamd mou kanei 2msec gia na elegksei ena 1500 bytes file against 22k
> signatures - oso to typical RTT se ena 10ri ethernet diktyo. An ypo8esoume
> oti exeis specialized hardware gi ayth th douleia, periorizeis ta
> signatures stous current ious (de me noiazei na elegxw pia gia to PIXEL
> virus) kai to syndiaseis me ena psiloeksypno state machine (de me
> endiaferei na elegxw ka8e paketo apo ena mp3 h avi file poy erxetai apo to
> kazaa) nomizw oti mporeis na meiwseis to latency se PSILOanekta oria.
>
> Ola ayta einai sketh 8ewria, bebaia.

Γενικά, όταν τα δεδομένα περνούν uncompressed & χωρίς αλλαγές από το
δίκτυο ίσως να έχεις δίκιο.  Παίζει να καθυστερεί πολύ όμως το signature
matching που σκέφτεσαι όταν μιλάμε για συμπιεσμένα δεδομένα ή δεδομένα
που έχουν υποστεί μετατροπές τύπου base64-encoding.

Ας πούμε πως θα κάνεις check σε ένα .ZIP αρχείο που περνά uuencoded πάνω
από ένα SMTP "connection" ως μέρος μιας σειράς από email μηνύματα με
RSET εντολές ανάμεσα από κάθε μήνυμα; Δε θα χρειαστεί να κάνεις κάποιου
είδους caching τα πακέτα σε user-level, να κρατήσεις ΟΛΟ το .zip αρχείο
(επειδή τα βλαμμένα έχουν το TOC στο τέλος), να το κάνεις uudecode,
unzip, check, ξανά zip, uuencode και να φροντίσεις όλα αυτά να γίνουν
γρήγορα για να μην καταλάβει τίποτα το client του proxy σου γιατί
υπάρχουν και τα timeouts που σε κυνηγούν λυσσασμένα;

Για να μη μιλήσω για encrypted transfers, SSL, HTTPS και την κουτσή Μαρία.

Χμμμ...





More information about the Linux-greek-users mailing list