Viren, Spyware, Datenschutz 11.213 Themen, 94.182 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Flachansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
FULL ACK -IRON-
xafford Rika „Ich sag s doch: Niemand braucht IGMP, und ungültige IGMP-Pakete aus m Netz ner...“
Optionen

ich hab jetzt lange überlegt, ob ich auf dieses posting noch antworten soll, oder nicht, die anwort könnte man nämlich auch falch auslegen. ich habe mich jetzt aber entschlossen doch noch drauf zu antworten.
mir stellt sich nun eine frage mit 2 möglichen antworten:
antowrt 1 wäre, du drückst dich nur falsch aus, antwort 2 wäre, du nutzt fachtermini, um dir den nimbus des vollprofi zu geben.
hier meine statements dazu:
was bitte soll man unter "tunneln" über IP verstehen? jedes übertragungsprotokoll im internet wird ohnehin über ip übermittelt, ip ist das grundlegendste protokoll, daß über router im internet übertragen wird. alle protokolle, egal wie tiefliegend werden durch IP übermittelt. wo willst du da noch was tunneln? man könnte ICMP über HTTP tunneln, was aber auch absoluter unsinn wäre, da eine kapselung von daten in eiem protokoll mur sinn macht, wenn auf der gegenseite ein mechanismus existiert, der diese daten aus dem protokoll wieder extrahiert und sie an die entsprechende anwendungsschicht leitet oder selbst weiter verarbeitet.
in diesem sinne noch zu etwas, IGMP ist nicht nur potentiell mißbrauchbar, IGMP ist für DoS und spoofed multicast membership schon lange bekannt.
eine TTL größer 1 ist bei IGMP auch nicht möglich, da IGMP eben nicht über router hinweg geroutet wird, es findet nur zwischen host und erstem router und letztem router und host statt, dazwischen sind es RIP pakete, IGMP wird also immer vom letzten router vor dir erstellt. was uns wieder zur sache mit dem tunnel zurückführt, wäre ICMP über irgendein anderes protokoll getunnelt (eines, bei dem dies auch wirklich geht), dann müsste immer noch auf deinem rechner ein mechanismus implementiert werden, der die IGMP nachrichten daraus wieder entkapselt und an die zuständige schicht zurück übermittelt.

punkt 2. um SYN flooding zu verhindern gibt es wie vorher angeschprochen 3 mechanismen (mehr oder weniger). ein "counter" der die halboffenen sockets zählt und weitere verhindert wäre absolut sinn- und nutzlos, da die möglichen halboffenen verbindungen, die ein system ertragen kann systemabhängig sind und filesharing mit so einem mechanismus absolut sinnentleert wäre.

und weiter...was soll heißen: "an die Raw Sockets kommt bei mir nur SYSTEM und Admin"? wie verbietest du einem userkonto zugriff auf eien teil einer API? kannst du auch einem user zugriff auf die funktion OnMouseMove aus der windowsAPI verbieten? du kannst ihm vielleicht den zugriff auf ein programm verbieten, oder eine hardware, aber nicht auf funktionsaufrufe einer API.
bei einem untergejubelten stack ist dies ohnehin makulatur, dieser unterwirft sich sowieso nicht der rechtehierarchie des systems. konnte sich der trojaner installieren samt eigenem stack, dann kann er ihn auch komplett ohen beschränkung nutzten.
was grc und ms angeht ist diese diskussion ohnehin schwachsinn...raw sockets gehen auf jedem system, egal ob 95, 98, 2000 oder xp, von unixen ganz zu schweigen. warum steve gibson das irgnoriert, darüber kann man spekulieren.
t-online verhindert übrigens auch nicht generell spoofing, verhindert wird nur (wie über die meisten richtig konfigurierten router), daß pakete mit ips aus falchen subnetzen nicht geroutet werden. aol ist da nach außen übrigens eher noch rigider, da bei aol jeder traffic aus dem aol net ins inet und umgekehrt durch proxys muß.

wie du mit diesem posting hier umgehst ist dene sache, sieh es auch nicht als persönlichen angriff, so ist es nicht gemeint. von mir aus kannst du es auch blitzen, ich werde sogar selbst zustimmen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen