On Mon, Jun 18, 2001 at 09:53:38AM +0200, Peter Mack wrote:
Wenn ich meiner Firewall glauben darf (tu ich), dann scheint das TDSL- Netz der Telekom die absolute Speilwiese für Hacker zu sein. Seitdem der Linux-Route im Netz hängt habe ich immer volle Firewall Logs. Ein Ausdruck würde jeden Tag mehrere Seiten Papier füllen.
Seit Tagen habe ich aber im 10-Sekunden-Takt Scans von verschiedenen Quellports auf den TCP-Port 6346, und zwar stundenlang von einem Angreifer. Danach ist Ruhe und kurze Zeit später geht es von einem anderen weiter. [..] Jemand ne Idee ??
Sicher ist das hier etwas "off topic" aber wer sagt denn, daß das Problem nicht unter ISDN genauso auftreten kann?!
Seit meinem Umstieg auf T-DSL habe ich dieses (naja) Phänomen auch. Es sind immer die gleichen Ports betroffen: 1214, 6346 um mal die zwei häufigsten zu nennen. Ich habe mir mal die Mühe gemacht und gesucht welche Dienste diese Ports benutzen (ist schon wieder ein paar Wochen her, deshalb bitte nicht schlagen wenn's falsch ist): 6346 ist E-Donkey.
Die offizielle Liste liefert:
# Ward Silver
Also grob gesagt Peer-to-Peer Dienste.
Ich sehe das also nicht als Hacker-Angriff sondern als puren Zufall an. Bedingt durch die dyn. IP-Adresse.
Ich sehe es auch nicht als Angriff, bin mir aber nicht sicher ob es nur an dyn. IP liegt oder z.B: im Fall des gnutella ports die Suche nach neuen gnutella hosts ist.
Naja, lästig ist es allemal. Das Log-File läuft voll und was noch viel lästiger ist: der Schei.. hält die Verbindung offen!
Aber eigentlich nur wenn man sich als "schwarzes Loch" (DENY) ausgibt, bei REJECT sollte der Spuk schnell aufhoeren.
Ich hatte hier schon den Fall, daß die Kiste ca. 8 Stunden ungewollt online war. Na gut, ich habe die T-DSL Flat, da juckt es mich nicht weiter. Aber gut fand ich das nicht!
Ich habe mir zwar schon "den Wolf" gesucht aber eine Lösung noch nicht gefunden. :-(
(Kurzfassung) Das Problem ist, daß der PPPD bestimmt ob die Verbindung offen bleibt und dann erst der Firewall die ungewollten Pakete wegwirft.
Vielleicht hat ja hier Jemand eine gute Idee!
Ja da muss generell etwas gemacht werden. Moeglich waer zum Beispiel ueber netfilter die Pakete durch einen daemon zu bewerten und dann gezielt den pppd runterzufahren (bewerten := nur bestimmte Pkt duerfen den timeout counter resetten). Aehnlich kann man selektives DOD steuern. -- Karsten Keil SuSE Labs ISDN development