Hallo, seit ein paar Tage habe ich eine Firewall eingerichtet und bin erstaunt, wie oft ich angegriffen werde. Vor allem aus den s.g. Ostblockstaaten. Ist es irgendwie möglich gegen diese Leute ein Gegenangriff zu starten, dass sie das in Zukunft schön sein lassen? z.B. durch soviele Scanns und Pings auf Ihre IP dass bei denen nichts mehr geht. Wie Intelliegent wäre so etwas? Wenn es eurer Meinung nach gut wäre womit würde ich solche Gegenangriffe starten? vielen dank im voraus
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hallo, seit dem 1.1.2003 habe ich meine Firewall deinstalliert und ich bin erstaunt, daß ich nicht mehr merke, ob ich vermeintlich angegriffen werde.
Ich möchte euch allen recht herzlich danken für eure Antworten.
Ich ignoriere die Meldungen jetzt einfach.
Hallo!
Du wirst nicht angegriffen. Dies suggeriert Dir nur die Personal Firewall, damit Du glaubst, sie sei sinnvoll. Ist sie aber nicht.
Was die Firewall als Angriff meldet, sind Portscans VON AUSSEN. Egal, von wem die kommen - sie sind harmlos. Deine Firewall meldet aufgrund ihrer Regeln womöglich sogar gleich noch, welchem Trojaner du den Angriff verdankst. Dies ist unzulässig, da TRojaner zwar einen Standardport haben aber problemlos auch auf vielen anderen der 65536 Ports arbeiten können.
Was stört dich denn daran, sei doch froh dass deine Firewall das abfängt, wenn dich die Meldungen stören dann schalte die Benachrichtigungen oder Popups ab und geniesse die Ruhe.
Wenn du mit irgendwas zurück feuern willst dann wirst du nur damit beschäftigt sein und was hast du davon, nichts.
Noch so ein Drops, der die Firewall nicht konfigurieren kann...
Mach mal folgende Regeln:
ALLOW ALL IP: 192.168.?.? SNMASK: 255.255.255.0
ALLOW TCP,UDP:53 INBOUND&OUTBOUND
DENY TCP,UDP:137,138,139
DENY TCP,UDP:67,68
DENY TCP,UDP:137,445
DENY TCP,UDP:1900,5000
ALLOW ICMP:0,3,11,12 INBOUND
ALLOW ICMP:4,8 OUTBOUND
DENY ICMP:4,8 INBOUND
DENY ICMP:0,3,11,12 OUTBOUND
DENY ICMP:1,2,5,6,7,9,10,13-255
DENY UDP:500
>WEITERE PROGRAMMSPEZIFISCHE REGELN
OTHER:DENY
(Doppelposting entfernt)
[Diese Nachricht wurde nachträglich bearbeitet.]
Snort mit flexresp kann auf "Angriffe" reagieren.
1. du wirst zu 99,9% nicht angegriffen, firewalls sind nicht intelligent und so gebaut, daß sie jeden kontaktversuch von außen, der nicht von innen initiiert wurde als angriff verbuchen und melden.
2. wenn du immer gegenmaßnahmen ergreifen wolltest, dann hättest du viel zu tun.
3. mit gegenaktionen ürdest du dich in illegalen bereichen bewegen, DoS-angriffe zählen als Computersabotage.
4. mit einem einzelnen Heimrechner hast du so gut wie keine chance einen anderen rechner mittels DoS auch nur merklich zu stören, so lange es sich nicht um einen angriff auf einen exploit handelt.
zu 1.: Eine "Panik-Firewall" (z.B. ZoneAlarm, BitDefender) verbucht soetwas als Angriff. Vernünftige Firewalls (Outpost, NPF/NIS) melden sowas als ankommendes Datenpaket, verzichten auf Panikmache und geben in der Regel Konfigurationsmöglichkeiten und Risikobewertung (meist "Low") an. Das Risiko wird nur meisten dann "Medium" oder "High", wenn man a) entsprechende DENY-Regeln erstellt hat (z.B. UPnP blocken, die Ports ohnehin geschlossen sind und dann kommt 'n Zugriff auf die UPnP-Ports) oder b) das eingebaute IDS angesprochen wird (z.B. wenn 'n TCP-Paket mit Absender-IP 0.0.0.0 ankommt, oder ungültige TCP-Option-Flags, oder ICMP mit Command-Feld über 25).
Und als Ergänzung:
5. Selbst wenn jemand 'n Portscan bei dir macht - kann dir doch egal sein. Wenn kein Service läuft, sind die Ports zu. Oder auch wenn sie offen sind - ein Service braucht meist eine Authentifizierung. Und die Firewall macht dir Ports zur Not auch zu. Portscans gehören zum Netzleben wie Bettler und Penner in den Großstadtbahnhof... :-)
das sind nur portscaner die jeder 2te depp benutzt um offene port´s bei dir zu finden.