Effektive Lösung gegen Portscann-Verstopfung?

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von Dizzy, 20.01.2009.

  1. Dizzy

    Dizzy Brain Damage

    Dabei seit:
    02.05.2007
    Beiträge:
    857
    Zustimmungen:
    0
    Ort:
    Graz
    Hi,

    welche Mittel gibt's gegen Portscanner (zB Portfuck)?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bitmuncher, 20.01.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Snort, scanlogd, portsentry sind die, die mir spontan einfallen.
     
  4. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.054
    Zustimmungen:
    8
    gegen Portscanner hift nur eine vorgeschaltete Firewall, die beim Provider steht - bei allem anderen ist die Leitung schon dicht (wenn's um Traffic/DOS/Durchsatz geht) - lokale Firewall kann zwar den Scanner blocken, daß er nicht mehr scannen kann (was nicht viel bringt).
     
  5. Dizzy

    Dizzy Brain Damage

    Dabei seit:
    02.05.2007
    Beiträge:
    857
    Zustimmungen:
    0
    Ort:
    Graz
    Hi,

    danke euch.

    @bitmuncher
    Die 3 habe ich gestern auch ausprobiert, leider erfolglos.

    @marce
    hm ... schade, danke dir.
     
  6. #5 bitmuncher, 20.01.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Setze auf alle Ports, die nicht nach aussen erreichbar sein sollen, eine DROP-Regel, anstatt REJECT zu verwenden. Das bremst die meisten Portscans ziemlich aus.
     
  7. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Was ist da der Unterschied? Bei REJECT gibt er dem gegenüber Antwort und bei DROP nicht?

    Gruss
     
  8. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.054
    Zustimmungen:
    8
    Na, ist doch viel sicherer :-)

    Reject: es kommt ein ordentliche Antwort, das da nichts ist.
    Drop: es kommt keine Antwort, das da was oder nichts ist, obwohl der Router einen Hop zuvor gesagt hat, da wäre was. Oh, da läuft wohl eine Firewall. Mal sehen, ob man die knacken kann.

    Einzig durch Art, wie der PortScanner mit dem Ergebnis umgeht (evtl. delays, weil er noch wartet oder was auch immer) ändert was am Resultat. Wissen, daß da was ist tut man so oder so.
     
  9. #8 bitmuncher, 20.01.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Die wenigsten Portscan werden händisch gemacht. Schau ich in meine IDS-Logs sind die meisten Portscans offenbar durch Bots durchgeführt und die warten zumeist eine gewisse Zeit auf Antwort. Ein Bot denkt sich aber nichts dabei, wenn er innerhalb seines Delays keine Antwort bekommt. Ganz gewiss jedenfalls nicht, dass dort eine Firewall ist, die er knacken könnte. ;)

    Praxis vs. Theorie. Klar hilft es nicht gegen einen ernsthaften Angriff aber gegen das übliche "Hintergrundrauschen", das durch Bots verursacht wird, hilft es zumindest ein bisschen. Gegen einen ernsthaften Angriff helfen aber auch Portscan-Detektoren oder externe Firewalls nur bedingt.
     
  10. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Ja. Es geht ja hier auch um das normale Internetrauschen. Ist das gleiche wie ICMP blockieren. Was bringt es, wenn ein Host keinen echo reply bringt, wenn man den HTTP Server erreichen kann. ;)

    mfg
     
  11. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  12. #10 bitmuncher, 20.01.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Ein P0-Scan dauert noch länger als ein gewöhnlicher TCP-Scan und der ist notwendig wenn kein Echo-Reply kommt, zumindest wenn eine ganze Port-Range gescannt wird. Wird nur auf einen spezifischen Port geprüft, bringt es natürlich wenig.

    Das Problem ist doch, dass man z.B. kaum Rootserver mit vorgeschalteter Firewall bekommt, über die man Kontrolle hätte. Als Rootserver-Besitzer muss man sich also etwas einfallen lassen um wenigstens das Gröbste abzublocken und da helfen selbst Kleinigkeiten wie DROPs anstatt REJECTs, Portscan-Detektoren, die scannende Hosts via iptables komplett aussperren u.ä.
     
  13. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.054
    Zustimmungen:
    8
    Die Frage ist halt: was will man damit erreichen? Portscans an sich schaden ja nicht (solange kein DOS draus wird) und das beste, was man bei einem sauber konfigurierten System erreichen kann sind saubere Logfiles.
     
Thema:

Effektive Lösung gegen Portscann-Verstopfung?

Die Seite wird geladen...

Effektive Lösung gegen Portscann-Verstopfung? - Ähnliche Themen

  1. Effektives lösen von Computerproblemen

    Effektives lösen von Computerproblemen: Also bevor ihr wieder Probleme hier postet versuchts doch erst mal so. http://www.n24.de/wirtschaft/multimedia/?n2006011717392700002
  2. Schweizer Hauptstadt Bern entwirft Microsoft-Ablösungsstrategie

    Schweizer Hauptstadt Bern entwirft Microsoft-Ablösungsstrategie: Der Stadtrat von Bern stört sich an der Abhängigkeit von Microsoft-Produkten für die ITC der Stadtverwaltung der Schweizer Hauptstadt. Mit großer...
  3. Schulen-Komplettlösung linuxmuster.net in Version 6.1 erschienen

    Schulen-Komplettlösung linuxmuster.net in Version 6.1 erschienen: Das freie Projekt linuxmuster.net hat die für den Schuleinsatz optimierte Distribution in Version 6.1 freigegeben. Sie bringt mehrere neue...
  4. Premierminister von Singapur veröffentlicht Sudoku-Lösungsprogramm

    Premierminister von Singapur veröffentlicht Sudoku-Lösungsprogramm: Der amtierende Premierminister von Singapur Lee Hsien Loong hat, nachdem er beiläufig ein von ihm geschriebenes Sudoku-Lösungsprogramm erwähnt...
  5. Premierminister von Singapur veröffentlicht Sodoku-Lösungsprogramm

    Premierminister von Singapur veröffentlicht Sodoku-Lösungsprogramm: Der amtierende Premierminister von Singapur Lee Hsien Loong hat, nachdem er beiläufig ein von ihm geschriebenes Sodoku-Lösungsprogramm erwähnt...