Stealth modus |
||
---|---|---|
#0
| ||
18.08.2002, 19:05
Member
Beiträge: 1516 |
||
|
||
18.08.2002, 19:58
Member
Beiträge: 813 |
#2
N'abend,
kann sein, dass ich dich nicht so ganz verstanden habe, aber: Es ist NICHT so, dass der "letzte" Router ein ICMP3 sendet, wenn man selber zwar DA ist, aber NICHT antwortet (also vermeintlich "stealth" ist.) Eine Antwort bleibt in diesem Fall also komplett aus. Und genau das verrät einen, denn WÄRE man wirklich NICHT da (was man ja "vorgaukeln" möchte), WÜRDE eben dieser "letzte" Router ein ICMP3 an den Absender schicken. Um wirklich stealth zu sein, müsste man mit der IP des Routers ein ICMP3 an den Absender schicken. Und das ist wohl nicht so einfach... Oder habe ich dich falsch verstanden? Tschö __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
18.08.2002, 20:20
Member
Themenstarter Beiträge: 1516 |
#3
Ach sorum ist das sorry ich hatte da was falsch verstanden ich hatte gedacht wenn der pc nicht antwortet schickt der router icmp3 hatte mich schon gewundert dazu müsste er nämlich ja den Netzwerkverkehr kontrollieren
__________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
18.08.2002, 20:36
Ehrenmitglied
Beiträge: 2283 |
#4
Ich möchte folgendes einwerfen:
ICMP vom Typ 3 wird vom letzten Router gesendet, wenn das Ziel nicht erreichbar ist. Bei den komischen Stealth-Modi verfährt die Firewall so, daß die Pakete einfach verworfen werden. Also muß der letzte Router die ICMP 3 senden, sonst funzt das ja nicht. Dies spiegelt sich dann im Portscan als Destination unreachable - Der Computer scheint nicht da zu sein - wieder. Und genauso funktioniert der "Stealth Modus" IMHO. R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
18.08.2002, 21:06
Member
Beiträge: 813 |
#5
Aber genau das funktioniert doch nicht, da der letzte Router nur dann ein ICMP3 verschickt, wenn der vermeintlich unsichtbare Rechner wirklich nicht da ist.
Ist er dagegen da und versucht nur sich zu verstecken, sendet der Router auch kein ICMP3 und die Tarnung fliegt auf. Der Router wird ja wohl wissen, ob der Rechner da ist oder nicht... Also ist "echtes" stealth nur Theorie. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
18.08.2002, 21:18
Ehrenmitglied
Beiträge: 2283 |
#6
Es kommt drauf an, welchen Code die ICMP Nachricht hat. Wenn Code 2 und 3 sind, dann lügt ja keiner der Beteiligten.
Ich bin mir da nicht ganz sicher, müsste man mal ausprobieren. Schau mal: http://www.robert-sieber.info/protecus.de/icmp.html R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
18.08.2002, 21:41
Member
Themenstarter Beiträge: 1516 |
#7
Also ich halte forge77 meinung für wahrscheinlicher da der Router doch sonst den ganzen Netzwerk verkehr sehr genau untersuchen müsste und das würde eine Menge ressourcen fressen wenn er genau aufpassen müsste ob auf ein Packet auch richitg geantwortet wird
Aber eigentlich ist dieses ganze Stealth gequatsche blödsinn wollte es aber mal von der Theorie her wissen einziger Vorteil wäre höchstens das man sich bei angriffen die antwort über icmp3 oder Rst flag ersparren würde da wäre aber wohl ein Ids system das die Ip des angreifer blockt sinnvoller __________ °<- Vorsicht Trollköder und Trollfalle -> {_} Dieser Beitrag wurde am 18.08.2002 um 21:44 Uhr von spunki editiert.
|
|
|
||
18.08.2002, 22:35
Ajax
zu Gast
|
#8
Hi
Stealth=heimlich,verstohlen(obskur wäre auch zutreffend) Mann entfremde ein Wort vom eigentlichen Sinn um ein Irrglauben(Lüge)zu verbreiten.Es ist leider eine bewehrte Vorgangsweise. Mann hätte auch Invisible(unsichtbar)-Modus sagen können,wäre aber zu grotesk gewesen. Punkto Sicherheit erreicht man im Stealth-Modus daß ein potenzieller Angreifer merkt daß seine Anfragen von einem Paketfilter(FW) gedroppt(verworfen)werden.Das ist aber auch alles. In diesem Sinne, was die CheckPoint FW nicht kann, kann z.B. ZoneAlarm denn sie ist STEALTH!!! Grüße Ajax |
|
|
||
Was ist aber nun wenn ich mit einen Rst oder Icmp 3 mit einer so niedrigen TTL antworte das zwar der router erreicht wird aber niemals der Ziel Computer dann wäre ich doch eigentlich Stealth.
Du meintest sicher TTL (Time to live ) ! ?
josch
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}