Hallo,
LaBelle Furneaux
Hallo,
LaBelle Furneaux
writes: Hallo Ratti und Antje!
Diese Log_Martians können sicherlich auch Ausdruck von gespooften IPs , gespoofte Source-Routed-oder Redirect-Packete sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4 implemintiertund sollten stests aktiviert werden mit echo 1 > /proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir allerdings auch zu schaffen, schaut euch mal dieses Logfile an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0 portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese Message bedeutet einfach, jemand gibt sich als DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ? Sicherlich , weil man TCP Sessions hijacken kann, das kann sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool port sentry falsch konfiguriert sein. Vielleicht sind auch zuviele ICMPs von der Firewall geblockt. [...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ? icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige Informationen übermittelt werden, wie z.B. host unreachable, port unreachable usw. type 11 übermittelt time exceeded, sollte also auch erlaubt sein. [...] Hallo Dieter! Nun die TTL exeeded müßen unbedingt als OUTPUT in den Firewallchains geblockt werden , weil damit so Firewalking verhindert werden kann ( also das Durchdringen der firewall, und somit Blick dahinter...) ansonsten habe ich die ICMPS , die Du genannt hast erlaubt, also source quench, die üblichen echos, nur bei fragmentation needed und destination unreachable , bin ich mir unsicher.Kann man denn nun durch IP-Spoof meinen eigentluichen DNS Server von meinen Provider faken?, und mir vortäuschhen , ich sei mit diesem server verbunden?
Time exeeded sollte als input erlaubt sein, sonst gibt es erhebliche Probleme mit dem MTA, als output kann es unterbunden werden. Wenn ein Angreifer dsniff gut handhaben kann, sollte es durchaus möglich sein, den DNS des Providers zu faken :-( -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour