Suivant: Solutions et résultats
Monter: Essais-Erreurs
Précédent: Détection par compteur
La première solution que nous avons envisagée était de regarder si l'applet initialisait certains
champs particuliers de l'en-tête http. Mais il semblerait que la requête soit parfaitement transparente
et qu'aucun champ ne soit généré par l'applet.
Nous n'avons donc pas pu exploiter cette piste.
Nous avons alors tenté de nous fixer sur l'applet elle-même.
Tout d'abord, nous avons envisagé de détecter sa présence dans les pages HTML.
En effet, il semblerait que d'évolution en évolution, l'applet conserve le même
nom ou un nom fort semblable. Cette solution ne pourra être appliquée
que du coté client.
Il s'agirait donc de détecter une balise <APPLET> et dans
cette balise de retrouver des mots clés tels que "spam" ou "flood" que l'on retrouve
fréquemment. Bien que très facile à détecter, cette solution s'est révélée très fragile
car il suffit que l'on modifie le nom de l'applet et qu'on la recompile pour que la détection soit caduque.
La solution suivante que nous avons envisagée était de trouver dans le fichier ".class" de l'applet téléchargée
le nom de l'applet ou certains mots suspects tels que "flood" ou "spam" que l'on retrouve souvent dans le code de
celle-ci. Ce n'est pas très difficile à détecter car la signature de l'applet est stockée dans les 4 premiers bytes
du fichier ".class". De plus, le nom de l'applet ainsi que les imports apparaissent en clair dans l'applet.
On remarque cependant assez vite que cette solution souffre des mêmes lacunes que la proposition précédente. De plus, elle nécessite un chargement à distance de l'applet.
Nous nous sommes alors penché sur l'origine de l'applet. Nous avons ainsi décidé que que toutes les applets provenant de serveurs non-fiables tels que hacktivist, nethack,... devraient être loggées. Pour réaliser cela, il faudra regarder les requêtes dont l'IP dest correspond à celles d'un de ces sites et dont l'uri contient ".class".
Suivant: Solutions et résultats
Monter: Essais-Erreurs
Précédent: Détection par compteur