Statefull Packer Inspection against any kind of Malware!

Thu Aug 12 14:26:55 EEST 2004

On 2004-08-12 02:28, Christos Ricudis <ricudis at komodino.itc.auth.gr> wrote:
> > > Gia na kseka8arisw. Oxi, de m'aresei h idea tou na kaneis match
> > > sto data link layer application signatures. Th briskw frixth kai
> > > me to pou to skeftomai mou rxetai na kanw emeto. Afou exw faei
> > > pitsa me ap'ola, anana, KAI antzougies. Alla ayto de shmainei se
> > > kammia periptwsh oti den th blepw texnika efikth lysh poy mporei
> > > na /periorisei/ to problhma ths diadoshs iwn/worms (kai to
> > > congestion apo p2p traffic, kai kai kai...).
> >
> > Να περιορίσει το congestion? O Mήτσος στέλνει στην Λάουρα 20 κιλά
> > πακέτα. Εκείνη κάνει match το 54735743543544ο πακέτο και το ρίχνει
> > στον βόθρο. Ο Μήτσος δεν πέρνει ποτέ ACK και ξαναστέλνει, και
> > ξαναστέλνει, και ξαναστέλνει μέχρι να τον πνίξουν τα timeouts των
> > TTL και να πάει να παίξει μπάλα. Δεν δημιουργείς congestion έτσι με
> > το παραπάνω traffic?
>
> Oxi. To congestion den prokaleitai toso apo ton ogko twn dedomenwn, oso
> apo to ry8mo apostolhs tous. See below

Το congestion από P2P traffic δεν είναι μάλλον το ίδιο πράγμα με το
congestion που είχε κατά νου του αυτός που έγραψε για το Μήτσο και τη
Λάουρα.

Το congestion από P2P traffic είναι όντως το γνωστό, κλασικό congestion
που προκαλεί ένας τύπος με γρήγορη γραμμή που στέλνει σε ένα καημένο
user με dialup κάτι σαν το linux kernel source.  Το congestion που είχε
στο νου του μάλλον όταν έγραφε για 20 κιλά πακέτα και timeouts ο
προηγούμενος ήταν μάλλον κάτι λίγο διαφορετικό.  Αν δεν κάνω λάθος
εννοούσε τις καθυστερήσεις & το bufferring overhead που προκαλεί η
εισαγωγή ενός ενδιάμεσου συστήματος B ανάμεσα από τον αποστολέα Α και
τον παραλήπτη Π σε ένα τέτοιο σχήμα:

                        Α ---> Β ---> Π

όπου ο bufferring ενδιάμεσος B αναγκάζεται να κάνει buffer, reassemble
τα πακέτα όλα, να επαναδημιουργεί κάθε TCP connection ως μέρος μιας
τοπικής "κατάστασης", να περνάει αυτά τα connections με κάποιο τρόπο σε
application layer φίλτρα και να ξανακάνει inject όσα δεν έκοψε το
application layer φίλτρο στο εξερχόμενο traffic προς τον Π (κι ανάποδα
για τις απαντήσεις του).

Μου φαίνεται ότι είναι πολύ δύσκολο αλλά έλαβα ειδοποίηση από κάποιον
που θα μου πει λεπτομέρειες ή έστω θα μπορέσει να κάνει μια πολύ
ενδιαφέρουσα κουβέντα μαζί μου... σύντομα ελπίζω :-)

Υ.Γ. Γίνεται να μην κόβουμε τα attributions αν δε σας είναι ιδιαίτερα
δύσκολο γιατί κάποιοι διαβάζουμε το ίδιο thread μισό στο σπίτι, μισό στη
δουλειά και το τρίτο του μισό από netcafe? :PPP