DevilFrank schrieb:
@31137
Wenn du gar keine Dienste anbietest, frage ich mich, wie du im Internet unterwegs bist
Als normaler User, nicht als Server. Warum sollte ich einen Dienst nach außen anbieten, wenn ich nur Dienste (Web-Server, Mailsserver, Postfächer, Usenetzugang) von anderen nutzen will?
DevilFrank schrieb:
Wenn du es allein dem Windows überläßt entsprechend zu reagieren, hier eine kurze Lehrstunde:
Denial-of-Service Angriff
Durch die ICMP-Nachrichten Time-Exceeded, Redirect und Destination unreachable kann es zum Ausfall von Diensten auf der angegriffenen Maschine kommen.
Viele ICMP-Nachrichten, die einen Host erreichen, sind nur für eine bestimmte Verbindung relevant. Um diese Verbindung bestimmen zu können sind in den ICMP-Nachrichten der IP-Header und die ersten 64 bit des IP-Datagramms enthalten.
ACK ==> Problem existiert nicht.
Ich muss mich wohl entschuldigen, da du dich offensichtlich doch mit ICMP (zumindest in der Theorie) auskennst.
DevilFrank schrieb:
Ältere ICMP-Implementierungen nutzen diese zusätzlichen Information nicht, dadurch kann es zum Abbruch aller bestehenden Verbindungen (auch legitimer) zwischen den beteiligten Hosts kommen.
Es war einmal... Welche Winsock-Version soll das gewesen sein?
btw: Windows 9x ignoriert solche Nachrichten. Eine Windows NT 5.x habe ich hier gerade nicht zum Testen, aber da MS dort den BSD-Stack "geklaut" hat, würde es mich wundern, wenn es anfällig wäre. Und falls NT 5.x anfällig ist, reicht der eingebaute Packetfilter.
DevilFrank schrieb:
Es gibt sogar eigene Programme, die mit Hilfe von ICMP-Nachrichten Verbindungen kappen.
Ist ja auch nicht wirklich schwer zu implementieren, wenn das OS anfällig ist.
DevilFrank schrieb:
In größeren Netzen sollte man die häufigkeit der ICMP-pakete überwachen, bei DDoS-attacken steigt die zahl der ICMP-pakete sprunghaft an, also erst ab einer gewissen Paket-anzahl/zeiteinheit blocken.
Nicht unbedingt. Wenn die DDOS-Attacke TCP verwendet, dann werden keine ICMP-Packete, sondern TCP-Packete mit RST-Flag durch das Opfer erzeugt.
Aber wo liegt eigentlich das Problem? Wenn jemand eine DOS-Attacke vornimmt und meine IP-Adresse in seine Packete schreibt, dann bekomme ich die Antworten des Opfers. Egal ob ich jetzt eine PF habe oder nicht, wird meine Empfangs-"Leitung" zugemüllt. Diese Fehlermeldungen werden weder mit noch ohne PF beantwortert.
Bleibt als einige Lösung sich vor den Kollateralschäden zu schützten, sich neu einzuwählen.
DevilFrank schrieb:
Das Windows würde schneller verröcheln, als dir lieb wäre.
Theorie != Praxis. Windows 9x ignoriert die bei einem solchen Angriff entstehnden "Port unrechable" Packete.
DevilFrank schrieb:
Sicher hast du recht, dass ZA nicht das Mittel ist, sein System zuverlässig zu schützen. Es geht beim Einsatz diverser Firewalls auch nur darum, Script-Kiddies fernzuhalten, die dann nicht mehr weiterwissen, wenn keine sinnvollen Antworten kommen.
Da muss man nichts machen, dass passiert von ganz alleine. Beachte: Keine Antwort ==> hier wird gefiltert. ==> astalavista ==> "ZA exploit" ==> nur alte Schachstellen ==> nächster Rechner.
"Port unreachable" bzw. TCP-ACK+RST
==> Hier läuft nichts
==> Nächster Rechner
Der Zweck von PS liegt wohl eher darin, Produkte zu verkaufen bzw. sich über die Interessen der Benutzer zu informieren (Stichwort: ZA aktiviert Updatesuche, obwohl während der Installation deaktiviert).
Oder warum wird so viel Wert darauf gelegt, den Anschein zu erwecken, dass man für vom User gestartete böse Programme ein ernsthaftes Hindersnis darstellen kann?