Hallo Ratti und Antje! Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an: Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. Kennt jemand vielleicht eine proffesionelle Antwort darauf, weil ich sehe , das wir alle hier etwas unsicher sind, was solche Messages betrifft ( und ich bestimmt an allerserster Stelle), hier sieht man mal wieder , Theorie und Praxis.............. PS: Kennt jemand eine gute site, wo man diese Kernelparameter in /proc/sys/net/ipv4 am besten konfiguriert , weil da sind sehr viele drin......und immerhin kann man damit syn-floods blockieren und ähnliches, und ebend auch diese Log_martians Grüße LaBelle -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo LaBelle, * Am 28.02.2002 um 22:53 Uhr schrieb LaBelle Furneaux:
PS: Kennt jemand eine gute site, wo man diese Kernelparameter in /proc/sys/net/ipv4 am besten konfiguriert , weil da sind sehr viele drin......und immerhin kann man damit syn-floods blockieren und ähnliches, und ebend auch diese Log_martians
ich verstehe Deine Frage nicht so ganz, aber wenn es Dir um Informationen zum 'ipv4' geht, dann könnte das folgende was sein ;-) /usr/src/linux/Documentation/filesystems/proc.txt oder /usr/src/linux/Documentation/networking/ip-sysctl.txt Jürgen -- Die letzten Worte eines Informatikers: "Ich bleibe solange hier, bis das Problem gelöst ist." / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /
Hallo,
LaBelle Furneaux
Hallo Ratti und Antje!
Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. [...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ? icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige Informationen übermittelt werden, wie z.B. host unreachable, port unreachable usw. type 11 übermittelt time exceeded, sollte also auch erlaubt sein. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo,
LaBelle Furneaux
writes: Hallo Ratti und Antje!
Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. [...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ? icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige Informationen übermittelt werden, wie z.B. host unreachable, port unreachable usw. type 11 übermittelt time exceeded, sollte also auch erlaubt sein.
-Dieter
-- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo Dieter! Nun die TTL exeeded müßen unbedingt als OUTPUT in den Firewallchains geblockt werden , weil damit so Firewalking verhindert werden kann ( also das Durchdringen der firewall, und somit Blick dahinter...) ansonsten habe ich die ICMPS , die Du genannt hast erlaubt, also source quench, die üblichen echos, nur bei fragmentation needed und destination unreachable , bin ich mir unsicher.Kann man denn nun durch IP-Spoof meinen eigentluichen DNS Server von meinen Provider faken?, und mir vortäuschhen , ich sei mit diesem server verbunden? Gruß LaBelle
-- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo,
LaBelle Furneaux
Hallo,
LaBelle Furneaux
writes: Hallo Ratti und Antje!
Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. [...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ? icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige Informationen übermittelt werden, wie z.B. host unreachable, port unreachable usw. type 11 übermittelt time exceeded, sollte also auch erlaubt sein. [...] Hallo Dieter! Nun die TTL exeeded müßen unbedingt als OUTPUT in den Firewallchains geblockt werden , weil damit so Firewalking verhindert werden kann ( also das Durchdringen der firewall, und somit Blick dahinter...) ansonsten habe ich die ICMPS , die Du genannt hast erlaubt, also source quench, die üblichen echos, nur bei fragmentation needed und destination unreachable , bin ich mir unsicher.Kann man denn nun durch IP-Spoof meinen eigentluichen DNS Server von meinen Provider faken?, und mir vortäuschhen , ich sei mit diesem server verbunden?
Time exeeded sollte als input erlaubt sein, sonst gibt es erhebliche Probleme mit dem MTA, als output kann es unterbunden werden. Wenn ein Angreifer dsniff gut handhaben kann, sollte es durchaus möglich sein, den DNS des Providers zu faken :-( -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
participants (3)
-
Dieter Kluenter
-
Juergen Schwarting
-
LaBelle Furneaux