+ Antworten
Ergebnis 1 bis 2 von 2
  1. 13.11.2003, 12:49 #1
    DiZ|MadDog
    DiZ|MadDog ist offline
    Lord DiZ|MadDog wird schon bald berühmt werden Avatar von DiZ|MadDog
    Registriert seit
    31.01.2001
    Ort
    Bonn
    Alter
    30
    Beiträge
    584
    Downloads
    0
    Uploads
    0
    Renommee-Modifikator
    142

    Standard Invalid TCP-Flags Angriffe

    Hi,
    ich bin etwas verunsichert. Immer wenn ich den eMule mal laufen habe, werd ich mit ziemlicher Sicherheit laut Norton Internet Security angegriffen durch "Invalid-TCP Flags", was aber gottseidank geblockt wird.
    Zum drumrum:
    Mein Rechner ist an einem Router angeschlossen, der die Ports vom emule an mich weiterleitet. Auf meinem Rechner ist zusätzlich die Norton Firewall aktiv, wie schon erwähnt.

    Jetzt frag ich mich, was es eigentlich mit dieser Art Attacke auf sich hat, bzw. ob der emule da vielleicht mit dran schuld ist, direkt oder indirekt (durch öffnen von Sicherheitslöchern...).
    Denn wenn ich zwar online bin, evtl. stundenlang, aber der emule gar nicht an ist/war, bekomme ich einen derartigen Angriff sehr sehr selten, eigentlich gar nicht. Ich habe einige der Angriffe mal per Norton zurückverfolgen lassen. Die letzten kamen alle aus Holland, einmal war China dabei, am meisten alelrdings kriegte ich den Telekom Server in Berlin angezeigt, auch exoten wie Südamerika oder was weiß ich wo waren schon dabei. Muss ja nix heissen, kann ja bloss n proxy seín.

    Habt ihr ne Ahnung, was das ist? Ich kann damit gar nix anfangen. Ich hab ein bißchen Ahnung von Netzwerken, ihr müsst mir das nicht unbedingt für doofe erklären, aber ich kenne mich nicht so aus, als dass ich das wüsste. Ich möchte ja schließlich möglichst schaden abwenden.


    2b v¬ 2b

    Zitieren Zitieren
  2. 13.11.2003, 19:19 #2
    Andy1
    Gast

    Cool

    Habe mal das dazu gefunden.
    TCP Attacken

    Das TCP Protokoll ist das Standard-Protokoll in der Familie der TCP/IP Protokolle und wird für fast alle Dienste wie zum Beispiel FTP, SMTP oder Telnet verwendet und es ist gleichzeitig das sicherste Protokoll, da es nur vollständige Daten ohne Duplikate liefert.

    Eine normale TCP-Verbindung wird mit einem so genannten "Three Way Handshake" (RFC 793) aufgebaut, der folgend funktioniert:


    TCP A TCP B

    Geschlossen Horchend
    SYN senden SYN empfangen
    Verbindung akzeptiert SYN senden
    Verbindung akzeptiert Verbindung akzeptiert
    Verbindung akzeptiert Verbindung akzeptiert



    Es wird also zunächst ein SYN-Paket (Synchronisation) an den Zielrechner gesendet, der mit einem SYN/ACK-Paket (Synchronisation akzeptiert) antwortet. Diese Antwort wird mit einer Bestätigung des Quellrechners akzeptiert. Für diesen Vorgang wird ein entsprechender Speicher belegt.

    SYN-Flood Attacken
    Syn-Flood Attacken setzen genau hier an. Der Aggressor sendet SYN-Requests (Antworten) mit einer nicht existierenden Absender-Adresse an den Rechner des Opfers. Der Opfer-Rechner antwortet mit einer SYN/ACK Antwort an die nicht existierende Adresse, erhält daher keine Antwort und wartet eine bestimmte Zeit auf eine Rückmeldung. Erfolgt diese nicht innerhalb einer Zeitspanne, wird die Verbindung erfolglos unterbrochen. Sinn der SYN-Flood Attacke ist, genügend schnell SYN Pakete an den Opfer-Rechner zu senden, bevor die Verbindung wegen Erfolglosigkeit vom Opfer-Rechner beendet wird. Erfolgen die Attacken ausreichend schnell, wird der Speicher des Opfer-Rechners mit sinnlosen Verbindungsanfragen überfüllt und er wirkt wie eingefroren oder stürzt unkontrolliert ab.

    Identifizieren lassen sich SYN-Flood Attacken mit einem leistungsfähigen Firewallsystem und integriertem Intrusion-Detection-System, mit dem die Art des Angriffs analysiert wird oder weniger spezifisch mit der Ermittlung der Anzahl von Verbindungsversuchen durch ein einfaches Firewallsystem.

    Eine erweiterte Form der SYN-Flood Attacken wird über so genannte DDoS-Werkzeuge ausgelöst, die einzig zum Zweck verteilter Angriffe entwickelt wurden. Hier installiert der Aggressor zunächst Agents auf verschiedenen Rechnern und insbesondere auf Rechnern, die über einen Breitband-Internetanschluß verfügen, um die notwendige Leistung für Angriffe zur Verfügung zu haben.

    Diese Agenten werden ähnlich trickreich in harmlos erscheinende Dateien und/oder Bildschirmschoner gepackt, die sich beim Öffnen der Datei unbemerkt auf dem Zielrechner installieren und zunächst friedlich vor sich hin schlummern, bis sie durch einen zentralen Befehl des Angreifers gleichzeitig zum Leben erwachen und den Zielrechner mit unzähligen Scans förmlich bombardieren.

    Solche verteilten Angriffe sind leicht zu bemerken an der großen Anzahl an Verbindungsversuchen pro Minute von 600 bis 800 Versuchen oder mehr innerhalb dieser Zeit.


    Der Andy

    P.S. alles nachzulesen auch unter dieser Seite http://www.firewallinfo.de/index.php


    Zitieren Zitieren
« Keine IP | Outlook und Offlinemodus, obwohl Online »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

     

Ähnliche Themen

  1. Phishing-Angriffe auf Rekordniveau
    Von Newsbot im Forum News
    Antworten: 0
    Letzter Beitrag: 20.01.2006, 09:37
  2. invalid kernel
    Von Johannes2002 im Forum Allgemein Windows XP
    Antworten: 0
    Letzter Beitrag: 08.08.2004, 11:01
  3. Hacker - Angriffe -
    Von Buster Clark im Forum Allgemein Windows 2000
    Antworten: 15
    Letzter Beitrag: 18.03.2002, 18:07
  4. Virenalarm: DoS-Angriffe auf Microsoft
    Von Rupps. im Forum Allgemein Internet
    Antworten: 1
    Letzter Beitrag: 09.06.2001, 11:07
  5. Die clientseitige Erweiterung "Security" der Gruppenrichtlinie empfing Flags (17) und
    Von Trainer im Forum Allgemein Windows 2000
    Antworten: 0
    Letzter Beitrag: 30.12.2000, 02:34

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln


Search Engine Friendly URLs by vBSEO 3.6.0