Am Sat den 10 Apr 2004 um 02:17:23PM +0200 schrieb Konrad Rosenbaum:
On Saturday 10 April 2004 11:27, Andreas Kretschmer wrote:
am Sat, dem 10.04.2004, um 11:05:37 +0200 mailte Konrad Rosenbaum
Wie waere es damit: *nicht auf Ping reagieren (ca. 50% aller Attacken beginnen mit einem Ping-Scan)
Krass Unsichtbar, gell? Erinnert an ZoneAlarm und Norton InSecurity, Stealth-Mode. Was soll das bringen?
Das hat bei mir 50% der Attacken auf Apache reduziert und damit den Traffic verringert. Das ist nur EINE Maßnahme. Die Liste war nicht als "oder", sondern als "und" gemeint.
Was sind das denn für Attacken, die auf den Apachen abzielen? Ich hatte für ne Weile auch mal Pings abgestellt. Letztlich tut man sich damit aber keinen großen Gefallen, da man dadurch eh nicht unsichtbar wird.
*Alle unbenutzten Ports reagieren gar nicht (der Angreifer belegt in diesem Fall haufenweise Ressourcen auf seinem Rechner, da er die Timeouts abwarten muss/will)
Gerade bei dialup Verbindungen ist das blöd. Wenn z.B. vor dir ein Filesharing Benutzer die IP hatte, wirst du u.U. über einen langen Zeitraum mit Anfragen zugeschüttet, was sich durch einen RST leicht beheben lassen könnte.
<schnipp>
Abgesehen davon: warum zum Henker soll ich auf einem Port mit RST antworten, wenn ich dort gar nicht reden will? Wozu Traffic verschwenden?
s.o., weil diese Ersparnis wahrscheinlich gar nicht eintritt. Außerdem könnte man ja auch ein Limit für RST's mitgeben, damit erreichst du beides - Irrläufer über ihren Fehler informieren und dich selbst vor sinnlosen Antworten auf Scans bewahren.
Tschau,
andre