Mailinglist Archive: opensuse-de (3756 mails)

< Previous Next >
Re: Was kann ich dagegen tun?
  • From: "Torsten E." <linux-user@xxxxxxx>
  • Date: Tue, 21 Sep 2004 20:07:58 +0200
  • Message-id: <017a01c4a005$ed9397d0$640aa8c0@frodo>
Hi,

nun mal ein paar Infos, die ich aufgrund meiner Nachfragen/Beschwerden
bekam.
Kontaktiert hatte ich dazu: BSI-CERT, IFCC (FBI), Fa. Savvis, Fa.
Exodus.
Zumindest das CERT und IFCC gehen davon aus, daß es sich um eine DOS
Attacke gehandelt hat.
Beide Institutionen raten mir, sollte so etwas nochmals vorkommen, den
gesamten Traffic mittels tcpdump mitzuschneiden, und ihnen dann neben
den Logeinträgen zukommen zu lassen.
Ein Mitarbeiter des CERT hat auch eine recht interessante Erklärung zu
der Häufigkeit, dem IP-Adresswechsel, etc. abgegeben.
Sowohl das CERT als auch IFCC waren recht interessiert an den Daten, und
wollen auch weiterhin gerne informiert werden, sollte sich Savvis oder
Exodus dazu melden.

Zum Thema DROP oder REJECT gibt es keine klaren, sich festlegenden
Meinungen:
im Tenor: je mehr Anfragen solcherart kommen, desto größer ist die
Wahrscheinlichkeitkeit, daß man aufgrund der REJECTs und dem damit
zusätzlich entstehenden Verkehrs das eigene System unerreichbarer
macht - allerdings auf Kosten "legitimer" Systeme, welche eine
Verbindung aufbauen wollen.

Laut Fa. Savvis allerdings verhält sich das Ganze etwas anders - wobei
das Resultat des betroffenen Systems allerdings gleich bleibt.
Dort habe ich mich erkundigt, on sie etwas gegen diese massiven
Verbindungsversuche unternehmen können/würden, da das angegebene
Quellnetzwerk zu den ihren gehört.
Nun gab es vor einigen Minuten eine offizielle Antwort von dort:
es würde sich um einen Suchrobot der Fa. "Overpeer, Inc." handeln,
welcher andere Systeme/Netzwerke nach "copyrighted material" in
Netzwerken & p-2-p Clients sucht.
Die Fa. Overpeer habe ich nun einmal per Email angeschrieben, um zu
erfahren, ob dem tatsächlich so ist - zumindest ist dies laut ihrer
Website durchaus denkbar (http://www.overpeer.com/).

Fa. Exodus hat sich bis dato noch gar nicht gemeldet ...

So, nun wäre es zukünftig noch hilfreich, wenn es eine Möglichkeit gäbe,
automatisch bspw. eine 20 minütige tcpdump Aufzeichnung anstoßen zu
lassen .. ;-)

Gruß
Torsten



< Previous Next >
Follow Ups