Also:
Ihr werdet es nicht glauben, aber ich hab' gestern zum ersten mal verifiziert wie oft
meine Box daheim denn so gescannt wird.
---> Sehr oft!
Ich muss sagen dass ich geschockt war, und hab' natürlich sofort versucht was über die Leute rauszufinden, war aber nix zu machen. (lookup, nmap, etc)
Ich finde das kann mann nicht so stehen lassen und würde gerne "was machen".
Die frage ist was!?
Wäre wirklich dankbar für Vorschläge! Und bitte nicht falsch verstehen. Das ist kein versteckter - "wie kann ich Box xy hacken" thread.
Dachte an Honeypots oder eine Möglichkeit die Leute darauf hinzuweisen dass man im Bilde ist (was ich leider nicht kann). Das wär wahrscheinlich als verunsicherung bei einigen schon genug.
Einfache Statements zum Thema würden mich natürlich auch interessieren.
...und bitte alles nicht so eng sehen...
Thx
Portscanner!
Scans sind doch nichts schlimmes. Ich finde es zwar unhöflich, aber das ist ja (noch) kein Einbruch. Bist Du Dir denn sicher, das es Scans sind sind und nicht die üblichen fehlgeleiteten Packete von eDonkey und co?
Netzwerksicherheit ist kein einfaches Thema, wenn Du da einsteigen willst, solltest Du ernsthaft über ein gutes Buch nachdenken.
Netzwerksicherheit ist kein einfaches Thema, wenn Du da einsteigen willst, solltest Du ernsthaft über ein gutes Buch nachdenken.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
Hi!
Ich sehe das ähnlich wie Bert. Solange es nur Scans sind, würd ich mir keine Gedanken machen. Erst bei Connection-Versuche usw.
Mittels iptables kannst du aber ein paar schöne Einstellungen machen (wieviel SYN,ACK,FIN,RST RST erlaubt sind. 1 pro sek. usw.) Vielleicht solltest du dich damit mal ein bisschen näher auseinandersetzen.
MfG
Dennis
Ich sehe das ähnlich wie Bert. Solange es nur Scans sind, würd ich mir keine Gedanken machen. Erst bei Connection-Versuche usw.
Mittels iptables kannst du aber ein paar schöne Einstellungen machen (wieviel SYN,ACK,FIN,RST RST erlaubt sind. 1 pro sek. usw.) Vielleicht solltest du dich damit mal ein bisschen näher auseinandersetzen.
MfG
Dennis
Aus der Forschung wissen wir ja: männliche Gehirne sind nicht so multitaskingfähig wie weibliche - dafür aber höher getaktet . . .
Nun. Portscans sind connection Versuche. Es wird halt ein Packet mit dem SYN Bit gesetzt gesendet... Es gibt (wenn ich mich recht erinnere) auch andere Varianten des Scanens, aber die SYN Variante ist ja wohl doch die einfachste.dm hat geschrieben:Hi!
...Solange es nur Scans sind, würd ich mir keine Gedanken machen. Erst bei Connection-Versuche usw.
Was stimmt ist allerdings das es heut viel mehr planlose Scans gibt als früher. So for 4 - 5 Jahren war das mal was besonderes, mal gescant geworden zu sein...
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
Gut, hab mich falsch ausgedrückt. Ich meinte eigentlich Login-Versuche.
Früher war das echt eine Seltenheit. Doch durch fehlgeleitete Pakete sowie viele Sciptkiddies, die mal nen paar Subnetze scannen usw. hat sich das geändert. Früher hätte ich mir Sorgen gemacht. Heute nur in Ausnahmefällen.
Früher war das echt eine Seltenheit. Doch durch fehlgeleitete Pakete sowie viele Sciptkiddies, die mal nen paar Subnetze scannen usw. hat sich das geändert. Früher hätte ich mir Sorgen gemacht. Heute nur in Ausnahmefällen.
Aus der Forschung wissen wir ja: männliche Gehirne sind nicht so multitaskingfähig wie weibliche - dafür aber höher getaktet . . .
Re
Hi,
also ich bin nicht völlig unbedarft was das thema angeht. Klar ist es nur "unhöflich" gescannt zu werden, und noch ist ja hoffentlich nix passiert. Aber muss ich mir das
alles einfach nur defensiv ansehen? Keine Möglichkeit z.B. auf einen Scan automatisch
mit einem manipuliertem Päckchen zu antworten das den "Angreifern" hallo sagt?
Oder nachdenklich macht?
Nur so Gedanken, so fudiert kenn ich mich da nicht aus - aber völlig abwegig ist das doch nicht, oder?
Hab grade ein bischen was über honneypots gelesen, und das scheint ja ein bischen
in die richtung zu gehen, allerdings passiv, ohne "return" oder "hinweis".
Eine wahrscheinlich naive Frage: iptables macht bei mir alles zu, komplett (ausser ssh).
Was ich nicht verstehe: Kann ich mein System noch sicherer machen als einfach
sämtliche Ports zu schliessen? Habe mich durch einige iptables howto's gewühlt,
und überall wird ein riesiger aufwand mit tausend rules betrieben. Warum nicht einfach
alles zu? Oder hab' ich da einen Denkfehler?
Thx
zorn
also ich bin nicht völlig unbedarft was das thema angeht. Klar ist es nur "unhöflich" gescannt zu werden, und noch ist ja hoffentlich nix passiert. Aber muss ich mir das
alles einfach nur defensiv ansehen? Keine Möglichkeit z.B. auf einen Scan automatisch
mit einem manipuliertem Päckchen zu antworten das den "Angreifern" hallo sagt?
Oder nachdenklich macht?
Nur so Gedanken, so fudiert kenn ich mich da nicht aus - aber völlig abwegig ist das doch nicht, oder?
Hab grade ein bischen was über honneypots gelesen, und das scheint ja ein bischen
in die richtung zu gehen, allerdings passiv, ohne "return" oder "hinweis".
Eine wahrscheinlich naive Frage: iptables macht bei mir alles zu, komplett (ausser ssh).
Was ich nicht verstehe: Kann ich mein System noch sicherer machen als einfach
sämtliche Ports zu schliessen? Habe mich durch einige iptables howto's gewühlt,
und überall wird ein riesiger aufwand mit tausend rules betrieben. Warum nicht einfach
alles zu? Oder hab' ich da einen Denkfehler?
Thx
zorn
Da machst Du einen Denkfehler:
Port offen = Dienst wartet an port XY auf Daten
Port zu = kein Dienst lauscht
Mit den iptables-Regeln blockst Du das schon vorher ab. Und würde kein -j LOG drinstehen, würdest Du das überhaupt nicht mitbekommen.
Wenn Du also per iptables alles bis aus ssh blockst ist das schon mal recht gut. Wenn Du jetzt noch Dienste wie telnet, ftp, smtp usw. deaktivierst kann eigentlich nicht mehr viel passieren.
Port offen = Dienst wartet an port XY auf Daten
Port zu = kein Dienst lauscht
Mit den iptables-Regeln blockst Du das schon vorher ab. Und würde kein -j LOG drinstehen, würdest Du das überhaupt nicht mitbekommen.
Wenn Du also per iptables alles bis aus ssh blockst ist das schon mal recht gut. Wenn Du jetzt noch Dienste wie telnet, ftp, smtp usw. deaktivierst kann eigentlich nicht mehr viel passieren.
Grüße aus Flensburg,
Arne
Arne
Hi zorn!
Den anderen Beiträgen kann ich bis jetzt nur zustimmen, vor allem die Einstellung gegeüber Portscans. Man wird auf irgend welchen Pseudo-Security Seiten immer auf diese Portscans aufmerksam gemacht, wobei diese Scans echt nichts schlimmes sind, sofern du nur die Dienste nach Aussen offen hast die es auch unbedingt sein müssen.
Auf dieser Seite kannst du dich mal von einem Nmap scan prüfen lassen und feststellen welche Dienste du im Internet für andere Rechner anbietest. Aber was du mit den Diensten machen sollst, hatte ja arnem schon geschrieben.
Zu deinem "Gegenangriff" Gedanken wollte ich nur anmerken, dass ich davon die Finger lassen würde. Das Problem an der Sache ist, dass ein User mit einer gefälschten IP-Adresse deinen Gegenangriff auslösen könnte. Der Gegenangriff wird dann gegen diese gefälschte Adresse ausgeführt. Hätte er jetzt in diesem Fall die Adresse von http://www.google.de(nur ein Beispiel
genommen, würde dein Rechner diesen Angriff auf http://www.google.de vornehmen.
Gruss
Jochen
Den anderen Beiträgen kann ich bis jetzt nur zustimmen, vor allem die Einstellung gegeüber Portscans. Man wird auf irgend welchen Pseudo-Security Seiten immer auf diese Portscans aufmerksam gemacht, wobei diese Scans echt nichts schlimmes sind, sofern du nur die Dienste nach Aussen offen hast die es auch unbedingt sein müssen.
Auf dieser Seite kannst du dich mal von einem Nmap scan prüfen lassen und feststellen welche Dienste du im Internet für andere Rechner anbietest. Aber was du mit den Diensten machen sollst, hatte ja arnem schon geschrieben.
Zu deinem "Gegenangriff" Gedanken wollte ich nur anmerken, dass ich davon die Finger lassen würde. Das Problem an der Sache ist, dass ein User mit einer gefälschten IP-Adresse deinen Gegenangriff auslösen könnte. Der Gegenangriff wird dann gegen diese gefälschte Adresse ausgeführt. Hätte er jetzt in diesem Fall die Adresse von http://www.google.de(nur ein Beispiel
genommen, würde dein Rechner diesen Angriff auf http://www.google.de vornehmen.Gruss
Jochen
-
Raoul
- Beiträge: 1435
- Registriert: 20.05.2003 00:16:35
- Lizenz eigener Beiträge: neue BSD Lizenz
-
Kontaktdaten:
@Zorn:
Ein gaaanz klein wenig kann ich Dich verstehen, wenn ich mir so die Firewall-Logs angucke... aber mit Gegenwehr erreichst Du da glaube ich gar nichts:
1. sind die meisten Portscanns automatisiert
2. ist die Gefahr, beim Gegenangriff jemanden anders zu treffen (s. o.) nicht zu vernachlässigen
3. kann das ganze dadurch erst richtig eskalieren: Ich bin mal, allerdings noch unter Windows 2000, an einen sehr aggrssiven Rechner geraten. Meine Firewall hatte mir einen Portscann gemeldet, und ich habe nur eben einen nslookup, ein paar Pings gemacht, und dann war mein Rechner auch schon aus, ohne das die Firewall auch nur einen Mucks gesagt hat.
4. Sind das meinstens eh nur Kiddies, "die wollen nur spielen... "
5. Stellen die meisten Sachen auch keine Gefahr da: Wenn jemand nach 'service c:' auf Port 137 sucht, kann Dir ziemlich egal sein (und wer als Windows-User Laufwerk C:\ freigibt, ist selber schuld).
Ich hatte mal den scandetd installiert, der loggt Portscanns und blockt die IPs für eine bestimmte Zeit. Ausserdem kann er noch höflich formulierte Emails an den entsprechenden Provider schicken, aber auch jede andere 'niederträchtige' Aktion, die Du willst.
Allerdings hab ich das Ding wieder ausgeschaltet, bringt eh nichts, wenn man eine Firewall hat. Ich fahre mit meiner pazifistischen "Duck-Dich" Haltung ganz gut.
Wenn jemand mal um Dein Haus geht, und vielleicht auch mal die Türklinke runterdrückt, muss man ja auch nicht gleich mit dem Schritgewehr rauskommen
Ein gaaanz klein wenig kann ich Dich verstehen, wenn ich mir so die Firewall-Logs angucke... aber mit Gegenwehr erreichst Du da glaube ich gar nichts:
1. sind die meisten Portscanns automatisiert
2. ist die Gefahr, beim Gegenangriff jemanden anders zu treffen (s. o.) nicht zu vernachlässigen
3. kann das ganze dadurch erst richtig eskalieren: Ich bin mal, allerdings noch unter Windows 2000, an einen sehr aggrssiven Rechner geraten. Meine Firewall hatte mir einen Portscann gemeldet, und ich habe nur eben einen nslookup, ein paar Pings gemacht, und dann war mein Rechner auch schon aus, ohne das die Firewall auch nur einen Mucks gesagt hat.
4. Sind das meinstens eh nur Kiddies, "die wollen nur spielen... "
5. Stellen die meisten Sachen auch keine Gefahr da: Wenn jemand nach 'service c:' auf Port 137 sucht, kann Dir ziemlich egal sein (und wer als Windows-User Laufwerk C:\ freigibt, ist selber schuld).
Ich hatte mal den scandetd installiert, der loggt Portscanns und blockt die IPs für eine bestimmte Zeit. Ausserdem kann er noch höflich formulierte Emails an den entsprechenden Provider schicken, aber auch jede andere 'niederträchtige' Aktion, die Du willst.
Allerdings hab ich das Ding wieder ausgeschaltet, bringt eh nichts, wenn man eine Firewall hat. Ich fahre mit meiner pazifistischen "Duck-Dich" Haltung ganz gut.
Wenn jemand mal um Dein Haus geht, und vielleicht auch mal die Türklinke runterdrückt, muss man ja auch nicht gleich mit dem Schritgewehr rauskommen
Code: Alles auswählen
grep -ir fuck /usr/src/linuxBin ja auch pazifistisch, aber wenn einer um mein Haus rumläuft (welches ich nicht habe - aber ich glaub das ist auch besser so, Rasenmähen etc.) 
und auch noch
meine Klinke drückt, dann will ich den nicht abknallen, aber ich glaube ein höfliches Nachfragen wo denn das Interesse herkommt ist denke ich schon angebracht.
Ich will ja keine Teardrops verschicken - dachte nur es könnte eine Möglichkeit
geben...
Ich geb jedenfalls eh nur ssh frei (jemand hat mal gesagt das ist assozial),
Was mir allerdings noch unklar ist:Angenommen einer spooft die Adresse von google, dann gehen meine potentiellen scan-reply packete ja auch (so wie eventuelle aggressive packete meinerseits) auch zu google. Der ganze scan reply geht also ins leere und der böse spoofer bekommt keine ergebnisse? Falls aber doch, dann würde ja auch meine Antwort treffen, oder?
Werd mir auf jeden den scandetd ganauer anschauen. Thx Raol!
Aber um eins klarzustellen: Ich will nicht Krieg spielen. Was ich meine ist eher
ein Fähnchen das herausspringt, und auf dem steht: Fehler, Fehler! Besser nicht
scannen!
Mein grösstes Problem jetzt ist allerdings: Wie schliesse ich einen Thread! Ich denke meine Frage ist soweit beantwortet. Es gibt zwar nicht meine Lösung (Vieleicht ja doch - scandetd) - wann issn nu Ende?
Achso: Was ist denn ein "Schrittgewehr"?
und auch noch meine Klinke drückt, dann will ich den nicht abknallen, aber ich glaube ein höfliches Nachfragen wo denn das Interesse herkommt ist denke ich schon angebracht.
Ich will ja keine Teardrops verschicken - dachte nur es könnte eine Möglichkeit
geben...
Ich geb jedenfalls eh nur ssh frei (jemand hat mal gesagt das ist assozial),
Was mir allerdings noch unklar ist:Angenommen einer spooft die Adresse von google, dann gehen meine potentiellen scan-reply packete ja auch (so wie eventuelle aggressive packete meinerseits) auch zu google. Der ganze scan reply geht also ins leere und der böse spoofer bekommt keine ergebnisse? Falls aber doch, dann würde ja auch meine Antwort treffen, oder?
Werd mir auf jeden den scandetd ganauer anschauen. Thx Raol!
Aber um eins klarzustellen: Ich will nicht Krieg spielen. Was ich meine ist eher
ein Fähnchen das herausspringt, und auf dem steht: Fehler, Fehler! Besser nicht
scannen!
Mein grösstes Problem jetzt ist allerdings: Wie schliesse ich einen Thread! Ich denke meine Frage ist soweit beantwortet. Es gibt zwar nicht meine Lösung (Vieleicht ja doch - scandetd) - wann issn nu Ende?
Achso: Was ist denn ein "Schrittgewehr"?
--
kallisti!
kallisti!
-
Raoul
- Beiträge: 1435
- Registriert: 20.05.2003 00:16:35
- Lizenz eigener Beiträge: neue BSD Lizenz
-
Kontaktdaten:
Sollte natürlich "Schrotgewehr" heissen...
Mach mal "apt-get install scandetd" und freu Dich über die vielen Emails, die Dein Rechner Dir sendet.
Raoul
Mach mal "apt-get install scandetd" und freu Dich über die vielen Emails, die Dein Rechner Dir sendet.
Raoul
Code: Alles auswählen
grep -ir fuck /usr/src/linux
