Hallo Allerseits, * 05.01.2002 19:34 Uhr, Sascha Andres linux@programmers-world.com:
hi, On Sat, Jan 05, 2002 at 05:14:25PM +0100, Martin Neuditschko wrote:
D. h. die Überprüfungsmöglichkeit der TCP-Flags ist sowieso überfüssig?
nicht unbedingt. haengt unter umstaenden von der anwendung ab. aber um einen relativ guten schutz fuer einen rechner zuhause zu realisieren, muss man sich nicht unbedingt mit den tcp flags auseinander setzen. je sicherheitskritischer das scheutzende netzwerk ist desto eher muss ich mich damit beschaeftigen...
ciao sascha
Ich muß Sascha an dieser Stelle beipflichten. Ich realisiere bei mir alleine mit einer Logging Rule so eine Art Pseudo IDS. Alleine mit richtig gesetzten TCP FLAGS ist es möglich auf rudimentäre Art und Weise Portscans zu erkennen (siehe -m limit). Mit diesen Regeln kann ich dann relativ zuverlässig auswerten um was für einen Scan (SYN-Scan, FIN-SCAN, NULL-SCAN, XMAS-Scan etc: - siehe nmap) es sich gehandelt hat. Klappt eigentlich ziemlich gut, kann ich nur empfehlen. Grüße Martin