On Saturday 10 April 2004 11:27, Andreas Kretschmer wrote:
am Sat, dem 10.04.2004, um 11:05:37 +0200 mailte Konrad Rosenbaum
Wie waere es damit: *nicht auf Ping reagieren (ca. 50% aller Attacken beginnen mit einem Ping-Scan)
Krass Unsichtbar, gell? Erinnert an ZoneAlarm und Norton InSecurity, Stealth-Mode. Was soll das bringen?
Das hat bei mir 50% der Attacken auf Apache reduziert und damit den Traffic verringert. Das ist nur EINE Maßnahme. Die Liste war nicht als "oder", sondern als "und" gemeint.
*Alle unbenutzten Ports reagieren gar nicht (der Angreifer belegt in diesem Fall haufenweise Ressourcen auf seinem Rechner, da er die Timeouts abwarten muss/will)
Siehe oben.
Zugegeben, die meisten Portscanner erzeugen heute die Pakete selbst. Trotzdem muss das Tool sich merken, wo es schon gescannt hat. Das verbraucht Speicher. Wenn ich ein Netz von mehreren zehntausend Rechnern abscanne ist das sehr signifikant. Nochmal zugegeben, das kann man auf state-less optimieren, aber welcher Programmier(anfäng)er kann mit sowas schon korrekt umgehen (man schaue sich nur mal die hunderte von kaputten Webpräsenzen an).
Es hilft natürchlich nix gegen die Kits die direkt nach den Diensten suchen, die ich offen habe. Aber da ich ein anerkanntes Arschloch bin freut es mich schon, dass der Angreifer für mehrere Minuten nicht weiss (Windows benutzt TTL=128), ob etwas (von mir nicht benutztes) bei mir offen ist. ;-)
Abgesehen davon: warum zum Henker soll ich auf einem Port mit RST antworten, wenn ich dort gar nicht reden will? Wozu Traffic verschwenden?
Konrad