On Friday 09 April 2004 18:21, Martin wrote:
Eine wirkungsvolle Abwehr gegen Portscans wäre doch einfach jede Anfrage mit SYN zu beantworten, so daß der Angreifer mit der Flut von 65535 offenen Ports konfrontiert wird.
Toll, dann hat der Angreifer eine Liste von 1500 (Beispiel nmap) offenen Ports innerhalb von Sekunden und schickt weitere Requests an die Ports, die ihn interessieren. Gewinn: null Security, viel Traffic.
So viele offene Ports schreien doch regelrecht "schlag mich! schlag mich!". Selbst wenn ich ein riesen Tranparent mit Zielscheiben mit mir rumschleppe, wird der Raudi im Park immernoch dorthin hauen, wo es wehtut (damit es jetzt richtig hinkt: z.B. Port 80).
Wie waere es damit: *nicht auf Ping reagieren (ca. 50% aller Attacken beginnen mit einem Ping-Scan) *Alle unbenutzten Ports reagieren gar nicht (der Angreifer belegt in diesem Fall haufenweise Ressourcen auf seinem Rechner, da er die Timeouts abwarten muss/will) *Falls Du einen Apachen nach aussen sichtbar hast: sorg' dafür dass er immer gepatcht ist und keine unnötigen Module geladen sind *Falls Du ssh laufen hast: verstecke es hinter Port-Knocking.
Konrad