Scannen Blocken

Hi hab da mal ne frage öhm wie kann man das scannen eines pc abwehren ? oder was kann man dagegen tun das dies nicht glückt !?

( kein Scanner gemeint )
 
Du solltest mal Kaspersky Anti-Hacker ausprobieren soweit ich weis gibt es da eine Anti-Portscan funktion. Das erkennt schnell hintereinander connectende PCs, zu denen dannach jede weitere Verbindung unterbrochen wird. Das ganze kann man einstellen wie lang und ab wieviel Portscanns.

Bin mir aber nicht ganz sicher, aber ich meine soetwas in den Einstellungen gesehen zu haben.
 
Es gab mal ein interessantes Projekt namens Tar Pit. Da wurden die Synchronisationsanfragen der Scans "nicht wieder freigegeben" (vereinfacht ausgedrückt). Dadurch sollte die Verbreitung von Viren und Würmern verlangsamt werden. >click<

Ansonsten muss man sich vor einem Scan nicht fürchten ;). Lass sie doch Scannen was das Zeug hält. Du musst Dir nur sicher sein, dass Deine Firewall bzw. der Router richtig konfiguriert ist und die freigegebenen Dienste sauber konfiguriert bzw. gepatcht sind. Ausserdem kannst du icmp Requests an der Firewall verwerfen. Das bringt allerdings nur bedingt was.
Für die ganz paranoiden (zu denen ich mich auch zähle) gibs ja noch die Möglichkeit sein Netz mit einem IDS zu überwachen...
 
was ist IDS bitte merh stoff ;-)

hab eigentlich alles dicht
troztdem möchte ich das so ein scan fehl schlägt auch bei meiner echten ip ! is das zu verwirklichen ??
 
IDS=Intrusion Detection System

Du wirst, sofern Du Dienste anbietest, nicht verhindern können, dass ein Scan sie auch entdeckt.
Du kannst aber die Angreifer verwirren indem Du zB Honigdämonen einsetzt. *g*
Wenn Du keine Dienste anbietest wird ein Scan logischerweise auch keine finden ;).
 
Grundsätzlich kann Scans nicht "verhindern", da Scans eben auch nur Netzwerkanfragen stellen, und die will man ja beantworten. Andernfalls kann man offline gehen.

Es gibt aber sehr wohl Möglichkeiten, den Scannern die "Freude" an der Sache zu nehmen.

1. Ping nicht beantworten bzw falls man diese Diagnosemöglichkeit braucht nur beantworten, wenn die Pings von bestimmten Adressen kommen:
Code:
iptables -A OUTPUT -p icmp --icmp-type echo-reply -d ! <netz/ip von wo aus gepingt werden darf> -o ppp0 -j DROP
Viele Scanner, die ganze IP-Ranges scannen, pingen vorher, um herauszufinden, ob auf dieser IP überhaupt ein Rechner ist.

2. RST-Pakete nach draußen unterdrücken. RST wird gesendet, wenn ein Verbindungsaufbau abgelehnt wird, das ist der Fall wenn auf einem Port kein prozess listen()t. Unterdrückt man RST-Pakete, so muss ein Client bei einer Anfrage an einen nicht existenten Port bis zum Timeout warten, dadurch werden Scans extrem lahm.
Code:
iptables -A OUTPUT -p tcp --tcp-flags RST RST -o ppp0 -j DROP

3. Sequentielle Anfragen an ports erkennen und die Quellip dann dynamisch bannen. Jeder Scanner, der Ports der Reihe nach abfragt, wird davon erkannt und "ausgeschaltet". Dazu habe ich leider kein iptables-Beispiel.

Die Beispiele gehen davon aus, dass das Netzwerkinterface ins Internet "ppp0" heißt, das ist wohl bei den meisten Dialup-Verbindungen der Fall.

Greets, Ziri
 
Du kannst eine Firewall, z.B. unter Linux mit iptables, so einstellen, dass Dein Rechner auf einen Ping nicht antwortet, oder nur auf eine bestimmte Anzahl von Pings pro Sekunde/Minute antwortet. Diese Einstellung ist z.B. auch sehr wichtig für Volumen begrenzte Internetzugänge, denn so entsteht kein Trafic.
Unter Linux kannst Du das z.B. wie folgt einstellen (nur auf 6 Pings pro Minute wird geantwortet).

iptables -A INPUT -p icmp -i eth1 --limit 6/min --limit-burst 5 -j ACCEPT

oder gar verbieten bzw. antworte nicht auf einen Ping

iptables -A INPUT -p icmp -i eth1 -j DROP

Solche Einstellungen muss es auch bei einer Windows-Firewall geben.

Peter
 
Hallo,
also eigentlich sollte eine Desktop Firewall schon reichen.

Dort sollte man evt. ICMP Echo (Ping) blocken, und die Firewall unterbindet standardmäßig Verbindungsanfragen von außen.

Und genau das macht ein Portscanner. Er versucht sich über den Port xx mit deinem PC zu verbinden, wenn er ein OK als Antwort bekommt, ist der Port offen, sonst ist er geschlossen (vereinfacht dargestellt).
 
Original von Elderan
Hallo,
also eigentlich sollte eine Desktop Firewall schon reichen.

Dort sollte man evt. ICMP Echo (Ping) blocken, und die Firewall unterbindet standardmäßig Verbindungsanfragen von außen.

Und genau das macht ein Portscanner. Er versucht sich über den Port xx mit deinem PC zu verbinden, wenn er ein OK als Antwort bekommt, ist der Port offen, sonst ist er geschlossen (vereinfacht dargestellt).

Wo lässt sich das einstellen in windows XP ?
 
Original von Analyst
iptables -A INPUT -p icmp -i eth1 -j DROP
Das ist leider Mist, denn das blockt ICMP komplett, was dann zu hässlichen Seiteneffekten führt. Z.B. können Benutzer von DSL-Routern nicht mehr auf einen so konfigurierten Host zugreifen, wenn sie nicht entweder ihre MSS runtersetzen oder der Router automatisch alle Pakete neu verpackt (MSS-Clamping, können leider auch einige Hardware-Router nicht), denn eine automatische Erkennung dieses Problems funktioniert nur mit ICMP.

Weiter oben habe ich gepostet, wie es richtig geht (nur icmp-echo-reply blocken, eventuell zu Diagnosezwecken auch noch einzelne Rechner erlauben)

Greets, Ziri
 
Original von Zirias
Original von Analyst
iptables -A INPUT -p icmp -i eth1 -j DROP


(nur icmp-echo-reply blocken, eventuell zu Diagnosezwecken auch noch einzelne Rechner erlauben)

Greets, Ziri

wo schalte ich den ab ? hab die FW F-secure hab da was zwar gefunden lässt sich aber nicht bearbeiten gibs da irgenwo ne einstellung bei win xp ???

Internet Control Message Protokoll = ICMP
oder ICMP most common control message
 
Wo lässt sich das einstellen in windows XP ?

Naja ich meinte jetzt nicht unbedingt die Firewall von XP, sondern allgemein eine D-Firewall, z.B. Zonealarm, Sygate, Norten Firewall etc..

Da gibts dann meistens ein Extra Menü: Fortgeschrittene Regeln
 
i[/quote]

wo schalte ich den ab ? hab die FW F-secure hab da was zwar gefunden lässt sich aber nicht bearbeiten gibs da irgenwo ne einstellung bei win xp ???

[/quote]
 
@HighTower

das kannst du unter Windows XP nicht einstellen. Das ist für Linux.

Wie es bei der Desktop-Firewall F-Secure aussieht, weiss ich nicht....

cya Ph0eNiX
 
Was redet ihr da? Es gibt sicher irgendeine Desktop-Firewall, die es möglich macht, unter Windows die icmp-echo-replies zu unterdrücken. Allerdings geht es mit Windows-Bordmitteln nicht.
Die icmp-echo-replies zu schicken ist auch ganz sicher KEINE Sicherheitslücke, sondern nur "korrektes" Verhalten (selbiges gilt für TCP-Pakete mit RST-Flag, siehe oben).

Greets, Ziri
 
gibs da irgenwo ne einstellung bei win xp ???

Da Du Windows XP benutzt, kannst Du ICMP Echo Requsts mit der ICF (Internet Connection Firewall) unterdrücken!

ICMP was once used extensively to communicate status information between computers. These days, pretty much only the PING utility uses ICMP. Ordinarily ICF blocks certain kinds of outgoing and incoming ICMP packets, including incoming PING ("echo") requests. This means that no one can PING you. If you want to allow your computer to respond to a PING, go to the ICMP tab and select Allow incoming echo request. Now ICF will permit the incoming PING and Windows will respond with an ICMP reply.

Quelle

//EDIT
Auf Seite 98 des Manuals Deiner Firewall, steht beschrieben wie man ICMP Requests blockt...
 
Es gibt sicher irgendeine Desktop-Firewall, die es möglich macht, unter Windows die icmp-echo-replies zu unterdrücken.

Das sollte eigentlich jede können.

Beispiel Sygate: Fortgeschrittene Regeln, Hinzufügen, Traffic Blockieren, alle Hosts, Protokolle: ICMP Echo bzw. alle ICMP

das wars.
 
Zurück
Oben