Hallo, 31.08.2007 09:56,, i.anfrage wrote::
Am Freitag, 31. August 2007 08:49 schrieb Arno Lehmann:
Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
nur wenn der angreifer zeitdruck hat ;-) ansonsten schick ich dir alle paar stunden ein "päckchen" das wird dein ids dann recht wenig jucken ;-)
Darf ich nochmal auf den Kontext des von dir zitierten Satzes hinweisen:
So ziemlich alles was man als Skrippkiddie-Arbeit betrachten kann. Die machen mir allerdings sowieso weniger Sorge... man muss sich schon im Klaren darüber sein dass richtig ernstgemeinte, gezielte Angriffe alle Ports abklappern. Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
..und das bissel Mehrarbeit.. das macht doch dein Rechner so nebenbei... wozu gibts denn sonst Toolkits für automatisierte Angriffe ?
Solange aber genug Rechner auf den Standard-Ports angreifbar sind machen sich die Leute, die möglichst effizient möglichst viele Zombies brauchen, eben nicht die Mühe alle Ports abklappern. Ds macht nämlich kein Rechner, der Ziele sucht so ganz nebenbei. 60-100 mal so viele Verbindungsversuche brauchen nämlich massig Zeit und Ressourcen.
Was du skizzierst ist definitiv was anderes als das was (bei mir) meistens einläuft und geht über den Scriptkiddie-Ansatz hinaus und ist ebenso auch nicht die Methode schnell viele Zombies zu erzeugen. Das wäre ein gezielter Angriff, den ein solches mini-IDS wie's mir bei meiner Mail vorschwebte ebenfalls bemerken könnte. Und wenn mini meinen Ansprüchen nicht reicht nehm' ich eben Maxi :-) Wie auch immer: Das ursprüngliche Problem, nämlich mit Bordmitteln und geringem Aufwand ein System sicherer zu bekommen ist das Verlegen auf hohe Ports durchaus sinnvoll, denn es kommen definitiv weniger bemerkenswerte Verbindungen rein. Zumindest in den Umgebungen die ich kenne. Arno -- Arno Lehmann IT-Service Lehmann www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org