portsentry und portscans

Dieses Thema: "portsentry und portscans" im Forum "Security Talk" wurde erstellt von dramen, 13.07.2005.

  1. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    hallo!

    habe seit ein paar tagen portsentry laufen. die erkannten portscans und die zugehörigen ip-adressen werden automatisch in die hosts.deny eingetragen. habe am ersten tag schon über 100 gehabt und mittlerweile sind es schon knappe 700!
    wollte nur fragen ob das normal ist?!?
     
  2. Anzeige

    schau mal hier --> (hier klicken). Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    Öhm , ja .

    OK ich hab jetzt keine Ahnung ab wa portsentry etwas als scan betrachtet aber deine Methodik scheint mir nicht sehr sinnvoll:

    1. du weißt nicht warum was wie gescant hat. Manchmal wird auch die Verbindung zu bestimmten Servern die überprüfen ob bestimmte Dineste bei dir laufen als PortScan gewertet.
    Wenn man die braucht und die gesperrt werden na ja.

    2. Dyn IP Problematik.

    Du solltest eine IP maximal für 30 Minuten bis 1 Stunde sperren lassen.
    Wir haben dynamische IPs in Deutschland wenn du die Liste so stehen lässt hast du nach nem Jahr ein paar 10 tausend Einträge wenns dumm läuft aber dein Script Kidie Portscanner hat schon längst ne neue IP.

    3 eigentliche Frage.

    Wenn man nicht gerade hinter einem Router oder Proxy sitzt und sich das web so betrachtet wird man bemerken ,dass Tausende Zombies mit Würmern nach Opfern suchen, ScriptKiddies ganze Providernetzwerke durchscannen usw.

    Somit eine Antwort auf deine Frage , das schein normal zu sein. Man kann nen neu installierten winxp ohne sps keine Stunde ohne schutz am netz lassen ohne unter 3 würmern usw wegzukommen.
     
  4. #3 Gummibear, 20.07.2005
    Gummibear

    Gummibear Computerversteher

    Dabei seit:
    19.07.2005
    Beiträge:
    100
    Zustimmungen:
    0
    Ort:
    Schweiz
    Heutzutage hast du unzaehlige Scans. -> Wuermer, Kiddies, Viren ... alles scannt das Netz. Ich wuerde da auf Portsentry pfeifen und eher eine Firewall hochziehen. Default drop und dazu dann nur noch das durchlassen, was du explizit willst.

    Das hat auch den Vorteil, dass du die Scanner bremst, da sie bei dir immer auf den Timeout warten muessen.
     
Thema:

portsentry und portscans

Die Seite wird geladen...

portsentry und portscans - Ähnliche Themen

  1. Portscans protokollieren

    Portscans protokollieren: Ich würd gerne wissen, wie ich protokollieren kann, wenn ein anderer Rechner meine Port scannt... Folgenden Befehl habe ich ausgeführt: tail -f...