Oh hört bitte auf, Quark zu posten. Man kann sich nicht generell vor DoS-Attacken schützen, denn das ist ein weites Feld. DoS = denial of service, d.h. jeder wie auch immer geartete Angriff, der dazu führt, dass der Zielrechner seinen (Netzwerk-)Dienst nicht mehr verrichten kann, ist ein DoS-Angriff.
Die triviale Möglichkeit (und wohl auch mit Abstand am häufigsten eingesetzte) ist ein irgendwie gearteter flood. Solange der Angreifer nicht über mehr Bandbreite verfügt als der Angegriffene gibt es da immer Mittel und Wege, da er sich irgendwelcher Tricks bedienen muss, wie z.B. beim SYN-Flood der Tatsache, dass der Angegriffene eigentlich für jedes Paket eine "halboffene" Verbindung anlegen und im Speicher halten muss bis zum Timeout. SYN-Cookies lösen dieses Problem.
Sobald aber der Angreifer über genügend Bandbreite verfügt, gibt es absolut KEIN Mittel, sich gegen einen solchen Flood zu wehren, da man schließlich über die eintreffenden Pakete keine Kontrolle hat. Egal ob man sie nun annimmt oder nicht, die Leitung wird nunmal blockiert. Hier kann höchstens noch der Provider helfen, indem er "malicious traffic" bereits am Backbone erkennt und dort schon ausfiltert.
Und noch ein paar Worte zum "Stealth Mode":
- Darunter verstehen viele PFWs unter anderem das komplette Blocken von ICMP. *AUA*, damit geht die komplette Fehlerbehandlung auf IP-Ebene verloren. Unbedingt Finger weg von solchem Murks. Einzig legitimer Eingriff dürfte sein, PINGs zu reglementieren (bzw eben die Antworten drauf, icmp-echo-reply), weil das viele Scriptkiddie-Scanner nutzen um anzutesten, welche Rechner in einer IP-Range überhaupt erreichbar sind, man kann sich also eventuell unnötige Scans ersparen.
- Eine zweite Auslegung davon ist, dass Verbindungen weder angenommen (SYN/ACK) noch abgelehnt (RST) werden, was nach TCP die einzigen Möglichkeiten sind (Port offen oder eben nicht), sondern schlichtweg ignoriert werden. Sinn davon ist, dass viele "t00lz" davon ausgehen, dass unter einer bestimmten IP kein Rechner vorhanden ist, wenn sie keine Antwort erhalten. Nur ist es bei den meisten ISPs, die PPP-Zugänge bieten, so, dass sie ja WISSEN, welche PPP-Verbindungen offen sind, und daher den Router Anfragen korrekt "rejecten" lassen, falls auf der betreffenden IP gerade kein Rechner eingewählt ist. Das könnte in Zukunft dazu führen, dass gewisse t00lz das komplette Ausbleiben einer Antwort ganz im Gegenteil so interpretieren, dass da ein Rechner mit PFW sein MUSS ... Zur Zeit ignoriere ich selbst noch Anfragen an Ports, die ich nicht geöffnet habe, einfach auch um gewissen Portscannern den timeout aufzuzwingen und sie so ein wenig zu ärgern. Sobald ich aber feststelle, dass sich dadurch die Zahl der Scans erhöhen sollte, werde ich wieder alle geschlossenen Ports ganz normal rejecten.
Soweit also zum sogenannten "Stealth Mode", der je nach Ausführung mehr oder weniger sinnvoll sein kann, aber unter GAR KEINEN UMSTÄNDEN geeignet ist, die Sicherheit zu erhöhen.
If unsure, say N
Greets, Ziri
PS: Sorry für die zum Teil harten Worte zu dem Thema, aber ich halte es einfach für gefährlich, wenn solche Halbwahrheiten und Legenden verbreitet werden.