[linux-l] Portscanner

Stephan Uhlmann su at su2.info
Sa Okt 8 01:50:05 CEST 2005 

On Friday 07 October 2005 17:44, Olaf Radicke wrote:
> Am Freitag, 7. Oktober 2005 17:15 schrieb Wilhelm Dolle:
> > Ueblicherweise gehen solche Beschwerden an /dev/null, da Absender-IPs
> > leicht faelschbar sind.

Bei diesen SSH-Brutforce-Attacken scheinen sie mir aber nicht gefälscht zu 
sein. Wenn sie also sehr aggressiv und nervend sind, Olaf, dann lohnt es sich 
durchaus, sich die 5 Minuten Zeit zu nehmen und die Sache zu melden.

Soll ja vorkommen, dass manchmal Servern nicht die Aufmerksamkeit geschenkt 
wird, wie es sein sollte. Der Admin wäre für den Hinweis dann jedenfalls 
dankbar.

Dazu einfach per "whois <ip-adresse>" den administrativen Kontakt für diesen 
Netzblock raussuchen und freundlich anmailen. Englisch (wenns nicht zufällig 
ein deutschsprachiges Land ist), mit Logauszügen, Hinweis in welcher Zeitzone 
du dich befindest und natürlich welche Angriffe von wo nach wo aufgetreten 
sind.

Weitere Tipps z.B hier:
http://www.cert.org/tech_tips/incident_reporting.html
http://www.sans.org/rr/whitepapers/incident/

Portscans wiederum kannst du getrost ignorieren. Das ist Hintergrundrauschen. 
"Zurückscannen" bringt jedenfalls gar nix. Da lauert nämlich keiner auf der 
anderen Seite, der dich dann ehrfürchtig in Ruhe lässt. ;)


> Das ist Was was ich nicht verstehe! Wenn ich bei Otto ein Paket bestelle
> und meine Adresse ist falsch, dann kann es nicht zugestellt werden. Wie
> bekomme ich den mit gefälschter IP-Adresse meine Datenpackete?

Es ist ja nicht die Ziel-IP (also deine) gefälscht, sondern die Quell-IP. So 
erreichen dich zwar die eingehenden Pakete, aber deine Antworten gehen an 
jemand anderen (dessen IP gefälscht wurde).

Das lustige ist, wenns geschickt gemacht ist, dann interessieren den Angreifer 
deine Antwortpakete gar nicht. ;)


Ciao,
Stephan

-- 
Jabber!
http://de.wikipedia.org/wiki/Jabber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20051008/c68e876b/attachment.sig>

Mehr Informationen über die Mailingliste linux-l