On Mon, Feb 14, 2005 at 07:27:04PM +0200, Vesselin Kolev wrote: > > >От известно време насам доста скенери си имат детектор на compression > >bombs... Е, добре де, "доста", не "всички", и при някои дори не е > >пуснат по подразбиране... :) > > > >Поздрави, > >Петър > > И този детектор работи само за елементарно направени бомби като > описаната горе. Има и друг начин за запълване на файла с повтарящи се > сегменти. Не искам да си развалям отношенията с администраторите дето > пишат в този лист и да публикувам как може да се лъже детектора:))) > Подобен детектор не може да е алгоритмичен, а само шаблонен и това му е > слабото място.
Тоооо... зависи. По принцип един от начините да бъде направен такъв детектор (макар че в момента изобщо не съм сигурен дали реално използваните продукти го използват реално ;) е да следи за две неща: 1. абсолютен размер на декомпресирания файл (в момента, в който стигне 2 GB, спира, макар че тогава вече е късно, особено ако това е примерно 150-тото такова съобщение за последните 30 секунди ;) 2. степен на компресия (ако декомпресиране нещо, което се оказва компресирано с повече от 10:1, и вече сме разархивирали примерно повече от 100 KB, спираме) Да, вярно е, че и двете могат да бъдат излъгани/abuse-нати съвсем не толкова сложно, ако човек седне и се замисли какво иска да направи, но все пак налагат малко мислене ;) Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 I am jealous of the first word in this sentence.
pgpe0fE3Fd4LO.pgp
Description: PGP signature
