Stealth modus

18.08.2002, 19:05
Member

Beiträge: 1516
#1 Auf einigen Firewalls Hp steht doch da man nicht stealth sein kann da der Router mit einen Icmp3 wenn man nicht selber mit ein RST oder icmp3 antwortet

Was ist aber nun wenn ich mit einen Rst oder Icmp 3 mit einer so niedrigen TTL antworte das zwar der router erreicht wird aber niemals der Ziel Computer dann wäre ich doch eigentlich Stealth.

Du meintest sicher TTL (Time to live ) ! ?
josch
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Dieser Beitrag wurde am 18.08.2002 um 19:30 Uhr von joschi editiert.
Seitenanfang Seitenende
18.08.2002, 19:58
Member

Beiträge: 813
#2 N'abend,

kann sein, dass ich dich nicht so ganz verstanden habe, aber:
Es ist NICHT so, dass der "letzte" Router ein ICMP3 sendet, wenn man selber zwar DA ist, aber NICHT antwortet (also vermeintlich "stealth" ist.) Eine Antwort bleibt in diesem Fall also komplett aus.
Und genau das verrät einen, denn WÄRE man wirklich NICHT da (was man ja "vorgaukeln" möchte), WÜRDE eben dieser "letzte" Router ein ICMP3 an den Absender schicken.

Um wirklich stealth zu sein, müsste man mit der IP des Routers ein ICMP3 an den Absender schicken. Und das ist wohl nicht so einfach... ;)

Oder habe ich dich falsch verstanden?

Tschö
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
18.08.2002, 20:20
Member

Themenstarter

Beiträge: 1516
#3 Ach sorum ist das sorry ich hatte da was falsch verstanden ich hatte gedacht wenn der pc nicht antwortet schickt der router icmp3 hatte mich schon gewundert dazu müsste er nämlich ja den Netzwerkverkehr kontrollieren
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
18.08.2002, 20:36
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#4 Ich möchte folgendes einwerfen:

ICMP vom Typ 3 wird vom letzten Router gesendet, wenn das Ziel nicht erreichbar ist. Bei den komischen Stealth-Modi verfährt die Firewall so, daß die Pakete einfach verworfen werden. Also muß der letzte Router die ICMP 3 senden, sonst funzt das ja nicht. Dies spiegelt sich dann im Portscan als Destination unreachable - Der Computer scheint nicht da zu sein - wieder. Und genauso funktioniert der "Stealth Modus" IMHO.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
18.08.2002, 21:06
Member

Beiträge: 813
#5 Aber genau das funktioniert doch nicht, da der letzte Router nur dann ein ICMP3 verschickt, wenn der vermeintlich unsichtbare Rechner wirklich nicht da ist.
Ist er dagegen da und versucht nur sich zu verstecken, sendet der Router auch kein ICMP3 und die Tarnung fliegt auf.
Der Router wird ja wohl wissen, ob der Rechner da ist oder nicht...

Also ist "echtes" stealth nur Theorie.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
18.08.2002, 21:18
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#6 Es kommt drauf an, welchen Code die ICMP Nachricht hat. Wenn Code 2 und 3 sind, dann lügt ja keiner der Beteiligten.

Ich bin mir da nicht ganz sicher, müsste man mal ausprobieren.

Schau mal: http://www.robert-sieber.info/protecus.de/icmp.html

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
18.08.2002, 21:41
Member

Themenstarter

Beiträge: 1516
#7 Also ich halte forge77 meinung für wahrscheinlicher da der Router doch sonst den ganzen Netzwerk verkehr sehr genau untersuchen müsste und das würde eine Menge ressourcen fressen wenn er genau aufpassen müsste ob auf ein Packet auch richitg geantwortet wird


Aber eigentlich ist dieses ganze Stealth gequatsche blödsinn wollte es aber mal von der Theorie her wissen einziger Vorteil wäre höchstens das man sich bei angriffen die antwort über icmp3 oder Rst flag ersparren würde da wäre aber wohl ein Ids system das die Ip des angreifer blockt sinnvoller
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Dieser Beitrag wurde am 18.08.2002 um 21:44 Uhr von spunki editiert.
Seitenanfang Seitenende
18.08.2002, 22:35
Ajax
zu Gast
#8 Hi

Stealth=heimlich,verstohlen(obskur wäre auch zutreffend)
Mann entfremde ein Wort vom eigentlichen Sinn um ein Irrglauben(Lüge)zu
verbreiten.Es ist leider eine bewehrte Vorgangsweise.
Mann hätte auch Invisible(unsichtbar)-Modus sagen können,wäre aber zu
grotesk gewesen.
Punkto Sicherheit erreicht man im Stealth-Modus daß ein potenzieller Angreifer merkt daß seine Anfragen von einem Paketfilter(FW) gedroppt(verworfen)werden.Das ist aber auch alles.
In diesem Sinne, was die CheckPoint FW nicht kann, kann z.B. ZoneAlarm denn sie ist STEALTH!!!

Grüße
Ajax
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: