[linux-l] Portscanner
Stephan Uhlmann
su at su2.info
Sa Okt 8 01:50:05 CEST 2005
On Friday 07 October 2005 17:44, Olaf Radicke wrote:
> Am Freitag, 7. Oktober 2005 17:15 schrieb Wilhelm Dolle:
> > Ueblicherweise gehen solche Beschwerden an /dev/null, da Absender-IPs
> > leicht faelschbar sind.
Bei diesen SSH-Brutforce-Attacken scheinen sie mir aber nicht gefälscht zu
sein. Wenn sie also sehr aggressiv und nervend sind, Olaf, dann lohnt es sich
durchaus, sich die 5 Minuten Zeit zu nehmen und die Sache zu melden.
Soll ja vorkommen, dass manchmal Servern nicht die Aufmerksamkeit geschenkt
wird, wie es sein sollte. Der Admin wäre für den Hinweis dann jedenfalls
dankbar.
Dazu einfach per "whois <ip-adresse>" den administrativen Kontakt für diesen
Netzblock raussuchen und freundlich anmailen. Englisch (wenns nicht zufällig
ein deutschsprachiges Land ist), mit Logauszügen, Hinweis in welcher Zeitzone
du dich befindest und natürlich welche Angriffe von wo nach wo aufgetreten
sind.
Weitere Tipps z.B hier:
http://www.cert.org/tech_tips/incident_reporting.html
http://www.sans.org/rr/whitepapers/incident/
Portscans wiederum kannst du getrost ignorieren. Das ist Hintergrundrauschen.
"Zurückscannen" bringt jedenfalls gar nix. Da lauert nämlich keiner auf der
anderen Seite, der dich dann ehrfürchtig in Ruhe lässt. ;)
> Das ist Was was ich nicht verstehe! Wenn ich bei Otto ein Paket bestelle
> und meine Adresse ist falsch, dann kann es nicht zugestellt werden. Wie
> bekomme ich den mit gefälschter IP-Adresse meine Datenpackete?
Es ist ja nicht die Ziel-IP (also deine) gefälscht, sondern die Quell-IP. So
erreichen dich zwar die eingehenden Pakete, aber deine Antworten gehen an
jemand anderen (dessen IP gefälscht wurde).
Das lustige ist, wenns geschickt gemacht ist, dann interessieren den Angreifer
deine Antwortpakete gar nicht. ;)
Ciao,
Stephan
--
Jabber!
http://de.wikipedia.org/wiki/Jabber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20051008/c68e876b/attachment.sig>
Mehr Informationen über die Mailingliste linux-l