PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : portsentry und portscans



dramen
13.07.2005, 07:37
hallo!

habe seit ein paar tagen portsentry laufen. die erkannten portscans und die zugehörigen ip-adressen werden automatisch in die hosts.deny eingetragen. habe am ersten tag schon über 100 gehabt und mittlerweile sind es schon knappe 700!
wollte nur fragen ob das normal ist?!?

sono
13.07.2005, 12:44
Öhm , ja .

OK ich hab jetzt keine Ahnung ab wa portsentry etwas als scan betrachtet aber deine Methodik scheint mir nicht sehr sinnvoll:

1. du weißt nicht warum was wie gescant hat. Manchmal wird auch die Verbindung zu bestimmten Servern die überprüfen ob bestimmte Dineste bei dir laufen als PortScan gewertet.
Wenn man die braucht und die gesperrt werden na ja.

2. Dyn IP Problematik.

Du solltest eine IP maximal für 30 Minuten bis 1 Stunde sperren lassen.
Wir haben dynamische IPs in Deutschland wenn du die Liste so stehen lässt hast du nach nem Jahr ein paar 10 tausend Einträge wenns dumm läuft aber dein Script Kidie Portscanner hat schon längst ne neue IP.

3 eigentliche Frage.

Wenn man nicht gerade hinter einem Router oder Proxy sitzt und sich das web so betrachtet wird man bemerken ,dass Tausende Zombies mit Würmern nach Opfern suchen, ScriptKiddies ganze Providernetzwerke durchscannen usw.

Somit eine Antwort auf deine Frage , das schein normal zu sein. Man kann nen neu installierten winxp ohne sps keine Stunde ohne schutz am netz lassen ohne unter 3 würmern usw wegzukommen.

Gummibear
20.07.2005, 12:33
Heutzutage hast du unzaehlige Scans. -> Wuermer, Kiddies, Viren ... alles scannt das Netz. Ich wuerde da auf Portsentry pfeifen und eher eine Firewall hochziehen. Default drop und dazu dann nur noch das durchlassen, was du explizit willst.

Das hat auch den Vorteil, dass du die Scanner bremst, da sie bei dir immer auf den Timeout warten muessen.