am Sat, dem 10.04.2004, um 11:05:37 +0200 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
On Friday 09 April 2004 18:21, Martin wrote:
Eine wirkungsvolle Abwehr gegen Portscans wäre doch einfach jede Anfrage mit SYN zu beantworten, so daß der Angreifer mit der Flut von 65535 offenen Ports konfrontiert wird.
Toll, dann hat der Angreifer eine Liste von 1500 (Beispiel nmap) offenen Ports innerhalb von Sekunden und schickt weitere Requests an die Ports, die ihn interessieren. Gewinn: null Security, viel Traffic.
ACK.
Wie waere es damit: *nicht auf Ping reagieren (ca. 50% aller Attacken beginnen mit einem Ping-Scan)
Krass Unsichtbar, gell? Erinnert an ZoneAlarm und Norton InSecurity, Stealth-Mode. Was soll das bringen?
*Alle unbenutzten Ports reagieren gar nicht (der Angreifer belegt in diesem Fall haufenweise Ressourcen auf seinem Rechner, da er die Timeouts abwarten muss/will)
Siehe oben.
*Falls Du einen Apachen nach aussen sichtbar hast: sorg' dafür dass er immer gepatcht ist und keine unnötigen Module geladen sind
ACK.
*Falls Du ssh laufen hast: verstecke es hinter Port-Knocking.
Kann man drüber nachdenken.