Statefull Packer Inspection against any kind of Malware!

Thu Aug 12 00:12:03 EEST 2004

On Wed, 11 Aug 2004 22:58:10 +0300 (EEST)
Christos Ricudis <ricudis at komodino.itc.auth.gr> wrote:

<snip>

> Gia na kseka8arisw. Oxi, de m'aresei h idea tou na kaneis match sto data
> link layer application signatures. Th briskw frixth kai me to pou to
> skeftomai mou rxetai na kanw emeto. Afou exw faei pitsa me ap'ola, anana,
> KAI antzougies. Alla ayto de shmainei se kammia periptwsh oti den th blepw
> texnika efikth lysh poy mporei na /periorisei/ to problhma ths diadoshs
> iwn/worms (kai to congestion apo p2p traffic, kai kai kai...).

Να περιορίσει το congestion? O Mήτσος στέλνει στην Λάουρα 20 κιλά πακέτα. Εκείνη κάνει match το 54735743543544ο πακέτο και το ρίχνει στον βόθρο. Ο Μήτσος δεν πέρνει ποτέ ACK και ξαναστέλνει, και ξαναστέλνει, και ξαναστέλνει μέχρι να τον πνίξουν τα timeouts των TTL και να πάει να παίξει μπάλα. Δεν δημιουργείς congestion έτσι με το παραπάνω traffic? Και correct me if im wrong κάποια "έξυπνα"
implementations του stack κάνουν δυναμικό resize του send window ανάλογα με το performance του connection. Τί θα γίνει στο σενάριο 
παραπάνω?

armaos