RST Angriff bei Outpost - ??? |
||
---|---|---|
#0
| ||
16.05.2002, 14:12
zu Gast
|
||
|
||
16.05.2002, 14:35
zu Gast
|
#2
RST --> RESET.
------------------------------ IP half scan attack This alert notifies that repeated attempts to a destination computer were made, and no corresponding ACK packets were communicated. A standard transmission control protocol (TCP) connection is established by sending a SYN packet to the destination computer. If the destination is waiting for a connection on the specified port, it responds with a SYN/ACK packet. The initial sender replies with an ACK packet, and the connection is established. If the destination computer is not waiting for a connection on the specified port, it responds with an RST packet. Most system logs do not log completed connections until the final ACK packet is received from the source. Sending an RST packet instead of the final ACK results in the connection never actually being established and, therefore, the connection is not logged. Because the source can identify whether the destination sent a SYN/ACK or RST packet, an attacker can determine exactly which ports are open for connections, without the destination being aware of the probing. If this alert occurs, log the address from which the scan occurs. If appropriate, configure the ISA Server policy rules or Internet Protocol (IP) packet filters to block traffic from the source of the scans. ----------------------------------- Warum gleich Panik????? Was soll das bringen eine FW mit einer anderen Kombinieren??? Das ist totaler blödsinn. Mehr bringt gleich weniger. Alles klar. Niemals mehr als eine Firewall installieren und unter XP diese Mist interne Firewall deaktivieren. Ausserdem sei doch froh wenn Deine FW sich meldet. Wenn Du meine Kerio Logdatei siehst was Kerio alles upblockt. Solange die FW läuft und Du damit zufrieden bist würde ich mir keine Gedanken machen. |
|
|
||
16.05.2002, 14:53
zu Gast
|
#3
Hi,
Das bedeutet dann ja, dass die Outpost eine Art stateful inspection durchführt oder seh ich da was falsch? Grüsse Smaggmampf |
|
|
||
16.05.2002, 18:27
Member
Beiträge: 813 |
#4
Hallo,
mal für Dumme: Was ist eigentlich "stateful inspection"? Mir ist der Begriff schon öfters begegnet, u.a. kürzlich in der Kerio-Hilfe (Kerio "macht" das wohl auch). Ich weiß nur nicht was es ist... Danke und ciao __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
16.05.2002, 18:49
Moderator
Beiträge: 6466 |
#5
Hier ist´s recht gut erklärt.
http://www.bfd.bund.de/technik/Ori_int2/ohint_3.html Gruss, Josch __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
17.01.2003, 10:23
Moderator
Beiträge: 6466 |
||
|
||
07.09.2004, 10:46
Member
Beiträge: 1132 |
#7
Hallo,
habe auch ein Problem mit dem rst Angriff. Meine Outpost Firewall bringt mir die Meldung rst Angriff (ohne Portangabe) 127.0.0.1 ==> 127.0.0.1 ???? Kann sich der Localhost selber angreifen? Verwirrung total! Wäre nett wenn mir jemend aus dem Expertenkreis eine Info dazu geben könnte. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
07.09.2004, 15:30
Moderator
Beiträge: 6466 |
||
|
||
07.09.2004, 20:42
Member
Beiträge: 686 |
||
|
||
07.09.2004, 21:26
Member
Beiträge: 1132 |
#10
@rherder
danke für den Tipp. Hatte aber schon den Loopback deaktiviert. Die Meldung muss also eine andere Ursache haben. @joschi Hier die Zeile aus dem Log: 07.09.2004 19:20:25 Rst Angriff 127.0.0.1 -> 127.0.0.1 mehr steht nicht drin. Allerdings habe ich mich auch ein wenig in der Kürze der Zeit im Outpost Forum umgesehen und bin auf den nachfolgenden Beitrag gestossen, der ursprünglich in Italienisch geschrieben wurde und in einer furchtbaren Übersetzung präsentiert wird: Zitat One possible explanation for the presumed attacks "My Address". http://www.securfaq.usenet.eu.org/blaster127.html Subject: [ TUTORIAL ] Firewalls, approached from 127.0.0.1 and blaster From: Fabio Panigatti Given: Mon, 01 Sep 2003 09:01:48 GMT Newsgroup: it.comp.sicurezza.varie In order to avoid the usual flood of demands, of which the v' e' gia' first sentore, I spend two righette in order to describe some aspects of the worm "blaster" that they can be of interest to who receives those however innocuous coming from packages from addresses of loopback. The above-mentioned one worm (on whose methods of spread for hour we fly over) incorporates one ruotine destined launch a DDoS towards sure popolarita hosts of certain ', one for all windowsupdate.com. The payload of attack it previews the opening of logons on the door 80/tcp of the malcapita to you serveur (and if the hosts infect they are many...). It is dealt, in the specific case, of a distributed attempt of SYN flood (nearly) that it comes lead from blaster sending to a SYN to the door 80/tcp delserver victim using spoofati addresses source. E' nearly useless to observe that the SYN/ACK of the victim arrivera' to the host to which in the moment of the attack IP address belongs spoofato from blaster, from which the SYN/ACK that many see to come from some hosts in net. Blaster, to how much seems, does not contain one IP list (furbetto!) but a list of names host of the serveur to floodare and therefore touches it to resolve them, for being able to deliver its attack. In order to come in against to possessory of the serveur floodati the some managers of DNS they have had a ideona: "we resolve the name host of blots some subject to flood in 127.0.0.1!". Made saying: hour the blaster in execution on host whose DNS resolves the names in the address of loopback they send a SYN to the 127.0.0.1. Incidently the interface of loopback answers with its SYN/ACK or RST (to second that are or less a serveur web on the hosts infects) that they come sendes you to spoofato IP address. From which the packages that all see on the own firewalls. The thankses go to the managers of DNS and the managers of the router.Soweit ich etwas verstanden habe, ist hier die Rede von einem Blaster-Angriff. Vielleicht kannst Du mehr damit anfangen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 07.09.2004 um 21:27 Uhr von Heron editiert.
|
|
|
||
07.09.2004, 23:15
Member
Beiträge: 686 |
#11
Also ich möchte die Experten hier nicht klein reden, aber ich denke mal, dass für dein Problem das Outpost support forum genau DIE Adresse ist. Ich hatte in den letzten Jahren mal das eine oder andere recht komplizierte Problem, und die Jungs dort haben mir immer geholfen.
Du musst es halt in Englisch bringen. R |
|
|
||
09.09.2004, 22:47
Member
Beiträge: 1132 |
#12
@rherder
im Outpost Forum gibt es ein paar Threads zu diesem Thema, jedoch keine befriedigende Antwort darauf. Offenbar sind die Experten da auch ein bißchen ratlos. Das Beste was ich finden konnte ist oben zitierter Beitrag mit dem, offenbar wegen des grausamen Englisch, kein Mensch etwas anfangen kann. Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
Ist Outpost ein ausreichender Schutz oder sollte man es mit einer weiteren Firewall
kombinieren?