[linux-l] portsentry meldet folgendes: (?)

Steffen Dettmer steffen at dett.de
Mo Feb 25 10:45:14 CET 2002


* Ulrich Wiederhold wrote on Mon, Feb 25, 2002 at 10:31 +0100:
> Feb 21 17:10:35 home portsentry[1829]: attackalert: Connect
> from host: 212.232.19.40/212.232.19.40 to TCP port: 1080 

> Feb 21 17:10:35 home portsentry[1829]: attackalert: Host:
> 212.232.19.40 is already blocked. Ignoring
> 
> Zuerst wird natürlich der Host ignoriert.

Greift die automatische Blockregel auch bei UDP? Dann weiß ich
ja jetzt, wie ich Dich ärgern kann :) SCNR.

> Ich bekomme diese Meldungen auch auf Port 12345.
> 
> Was läuft hinter diesen Ports? (bei mir meines Wissens nach nix.)

12345 ist der klassische Trojanerport von BackOrifice oder was in
der Art. Ist vermutlich nur ein 11 jähriger dicker, gelangweilter
Junge, der sein neues Internet-Portscan-Tool ausprobiert.

> home:/# netstat -ln

Da kann man noch ein "p" dran machen, das hilft oft.

> Aktive Internetverbindungen (Nur Server)
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State      
 [...] 
> tcp        0      0 0.0.0.0:49723           0.0.0.0:* LISTEN      

Wat'n dat da?

> Nur Portsentry belegt laut netstat jede Menge Ports. (oben nicht
> aufgeführt)

Ja, so funktioniert das Teil ja. Bindet sich an etliche Ports,
und wenn die jemand benutzt, wird irgentwas gemacht. Das macht
snort intelligenter, das hilt sich einen raw socket und liest
einfach alles mit, auch wenns weiter geroutet wird (muß man also
nicht auf jeder Maschine installieren :)). 

> In meiner Firewallkonfiguration werden alle übrigen Pakete gedropped.
> Ist es sinnvoller, sie zurückzuschicken (RETURN), 

RETURN macht vermutlich nicht das, an was Du dabei denkst...
Meinst Du REJECT? Sendet eine ICMP zurück. Ich mache letzeres,
dadruch führt ein Vertipper oder was in der Art sofort zu einem
Fehler, nicht zu langen Timeouts. Andere argumentieren,
funktionalität hin oder her, "silent deny" muß sein, weil sonst
ja ein Angreifer Rückschlüsse gewinnen würde. Na ja, finde ich
nicht, weil er kriegt ja auch auf nicht-existierende Maschinen
die gleiche ICMP. Na ja, da gibts eben verschiedene Meinungen.

> um immer wieder Attacken derselben IPs zu verhindern? Die
> müssen doch merken, daß sie nicht durchkommen!?

Tools haben Gedult :) Außerdem waren das wohl eher Scans und
keine Attacken. Ich weiß nicht mehr genau das Ergebnis, aber ich
hab mal portscans/ipnetz*zeit ausgerechnet. Ich glaube, ich kam
auf 1 Scan je C-Netz und Stunde. Ja, portscans sind eben alltag,
bloß da die ja dann eh nix rauskriegen, weil firewall, ist ja
egal. 

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.



Mehr Informationen über die Mailingliste linux-l