|
Lieber KKDU.
Ihr Vortrag war ja ganz schön, er hat mir auch einige Informationen geliefert. Ich habe nie behauptet von Internetprotokollen viel zu verstehen. Und weil ich eine Diskrepanz im Verhalten verschiedener Internetserver festgestellt zu haben glaube wollte ich mit darüber informieren. Also bitte nicht schimpfen. Das sich im Internet eine Menge "Gsot" herumtreibt ist ja schliesslich bekannt, darum gibt es ja auch so viele Sicherheitsmassnahmen. Ich bin auch kein Paranoiker, auf meinem PC gibt es nichts zu spionieren. Ich liebe es nur nicht so sehr durch solches "Gsot" belästigt zu werden. Zum Thema: Mir ist nur aufgefallen, dass es mit vielen Servern nie Probleme mit meiner Firewall gibt,(3com Office Connect VPN Firewall), mit einigen anderen Servern schon. Also muss wohl logischerweise irgendwo ein Unterschied sein. GMX hat es sicher nicht nötig seine IP-Adresse hinter irgendwelchen Bezeichnungen zu verstecken, und doch sperrt die FW den GMX immer wieder während einer Verbindung. Nicht so beim WCM, ORF, und den meisten anderen. Das heist natürlich nicht das GMX versucht meinen PC anzugreifen. Aber er verwendet das Protokol wohl etwas anders. Und darauf bezog sich meine Frage. Natürlich können Sie nicht wissen was GMX macht, diese werden das wohl kaum jedem auf die Nase binden. Aber es wohl müssig weiter nach einer derart speziellen Antwort zu forschen. Das wissen wohl nur Programmier, die solche Software herstellen. Ich hoffte auf einige, den Unterschied erklärende, Antworten. Besten Dank für die Antwort. M.f.G. Stz. |
lieber herr stz (von mir, aus, dann halt per sie...),
der ton macht die musik und wer selbst den ersten stein wirft, darf sich über das echo nicht wundern....(jaja, vielleicht ein paar sprichwörter vermischt, aber gut*g*) und meldungen wie "Es scheint mir, dass manche Forumsteilnehmer nicht genau lesen, was ich da geschrieben habe." dürften nicht gerade zu begeisterungsstürme bei den helfenden führen.... langsam frage ich mich, ob sie es nicht verstehen wollen oder nicht verstehen können? ok, also nochmal: 1. es ist ganz normal ettliche tausend (und sogar millionen) syn packets zu bekommen (wie es schon vorangegangen mit lärm im internet verglichen wurde) 2. es ist kein problem der server die auf ihrer firewall auftauchen, denn die besitzer der server wissen nix davon. es ist im grossen bösen internetz kein problem eine ip adresse zu fälschen, was mich auch zu 3. führt: gmx hat vermutlich etwas mehr zugriffe als orf und wcm zusammen. genauso wird aol mehr internetkunden haben als alle österreichischen provider zusammen. bekanntere seiten (vor allem computer und sicherheitstechnisch relevante seiten) werden viel öfter als gefälschte absenderadresse verwendet (schaut ja gleich viel wichtiger und cooler aus, wenn ein portscan von microsoft kommt....) als hinzundkunz.at. aber vielleicht vorher noch grundlegend: im internetz gibt es eigentlich nur ip adressen. (nicht) nur weil menschen zu doof (bzw. zu bequem, tät mich auch nicht freuen ohne dns zu surfen*g*) sind sich lange zahlennummern zu merken und namen doch viel besser sind, hat man das domain name system (dns)eingeführt. dank der dns server (die diese nummern-namen übersetzung machen), müssen sie nur www.wcm.at in ihrem browser eingeben und nicht 194.112.128.106. diese nummern sind aber kein geheimnis, sonst würd das internet nämlich nicht funktionieren, d.h. jeder seppl kann nachschauen welche ip adresse welchem namen (und vice versa) entspricht. wenn jetzt der böse wurm/virus/hacker/scriptkiddie kommt, wird er es tunlichst vermeiden seine eigene ursprungsadresse anzugeben, sondern wird auf seinen brief (mit dem er ihren postkasten voll machen will) die absenderadresse von microsoft draufschreiben, davon weiss microsoft aber nix => die flodding attacke (und von nix anderen reden wir in wirklichkeit hier) scheint von microsoft zu kommen und sie denken sich: böse microsoft. in wirklichkeit steckt aber irgendwer anderer dahinter. folglich sind die probleme der server von denen sie schreiben schlicht und ergreifend deren bekanntheit und nix anderes. soda, ich hoffe ich hab mich verständlich ausgedrückt nur wegen der zahlen: auf meiner hw firewall sehe ich 653mio empfangene pakete am wan interface. am lan interface sind aber nur mehr 4,1mio rausgekommen, den rest hat die fw rausgeworfen => 0,6% nutzdaten gegenüber 99,4% müll..... (uptime des gerätes vermutlich viertel bis halbes jahr) |
Zitat:
|
Da mich das Thema interessiert und ich auch betroffen bin, habe ich mal versucht die Sache nachzustellen. :rolleyes:
Dazu habe ich die "Firewall" auf live Protokollierung gestellt und einen Sniffer auf meinem WAN Interface gestartet, danach die Seite www.gmx.at aufgerufen. Und sieha da, von den 911 Pakten vom GMX server hat die Firewall eines als "TCP NOT SYN" verworfen. Mit der port nummer habe ich dann im Sniffer den http TCP link herausgesucht, der diesen Fehler verursacht und "analysiert". Das Beenden der http TCP-Verbindung sollte so ablaufen: http://upload.wikimedia.org/wikipedi...p-teardown.png Hier der http link der den Fehler verursacht hat: http://members.blizznet.at/maxb/p1.jpg Die letzten 5 Pakete im Detail: Server setzt FIN flag http://members.blizznet.at/maxb/p2.jpg Mein PC antwortet mit ACK http://members.blizznet.at/maxb/p3.jpg und FIN wie vorgesehen http://members.blizznet.at/maxb/p4.jpg welches durch ein ACK vom GMX server bestätigt wird. http://members.blizznet.at/maxb/p5.jpg Diese TCP Verbindung ist jetzt beendet!!! Doch aus irgendeinen Grund schickt der GMX server mit deutlicher Verspätung ein TCP RESET :eek: http://members.blizznet.at/maxb/p6.jpg ...und das ist genau das Paket welches meine Firewall (zurecht) nicht mehr animmt. :rolleyes: Wie es dazu kommt, kann ich nicht beantworten, dazu muss man wahrscheinlich sehr ins Detail der jeweils verwendeten TCP/IP stacks gehen. Ich hoffem ich konnte etwas mehr für Verwirrung sorgen :ms: Grüße maxb |
add TCP Reset und TCP Syn/Ack
Lieber KKDU.
MAXB hat meine Anfrage genau auf den Punkt gebracht. Mir ist vollkommen klar, dass eine Menge Datenmüll in Internetraum herrumschwirrt. Das Namen leichter zu merken sind als IP-Adressen ist auch klar. DNS wurde ja deswegen erfunden, um den Menschen das "sich im Internet bewegen" leichter zu machen. Leider kann es auch zu "unfriedlichen" Zwecken missbraucht werden. Wie, im groben Überblick so ein sauberes Internetprotokol verläuft weiss ich auch, ich habe in meinem Beruf zwar nicht TCP-Protokole Programmiert, wohl aber SMPP-Protokole (wird im SMS-Verkehr verwendet). Dieses ist durchaus ähnlich dem TCP-Protokol. Mich interressiert der UNTERSCHIED zwischen jenen Servern, welche die Datenpackete TCP-SYN/ACK/RESET, anscheinend excessiv, verwenden und jenen die es nicht tun. Damit will ich natürlich nicht behaupten, dass die einen spionieren wollen. Ich frage mich und die Forumsteilnehmer, ob jemand weiss warum solche Datenpackete, für mich scheinbar ohne jeden Sinn, verwendet werden? Vielleich haben sie einen Sinn. Und dafür wollte ich eine Erkärung finden. Auch MAXB hat das erkannt und seine Mittel zur Nachforschung eingesetzt. Und siehe da: er kommt zum gleichen Ergebniss wie ich. Aber wie ich schon sagte: GMX und andere Provider werden das wohl kaum jedem auf die Nase binden. Ich hoffe, dass ich hiermit über meinen Wissensdurst Klarheit geschaffen habe. Ich wollte natürlich niemandem "auf den Schlipps" treten. Bitte um Nachsicht, falls Du dass so aufgefasst hast. Nochmals: Bitte nichts für Ungut. M.f.G. Stz. |
afaik ist ein reset immer eine antwort, somit muss zuerst etwas von dir kommen.
Wenn zb. dein netz ein packet schickt welches nicht zur bestehenden verbindung gehört (zb. ein SYN welches an die zuvor geschlossene verbindung adressiert ist) kommt ein RST als antwort. Kanns sein das zwischen dem letzten und vorletzten bild was fehlt? Welche firewall, sidewinder? betonung liegt aber auf AFAIK ;) . |
Nein, fehlen tut nix. Das vorletzte und letzte Paket vom GMX Server haben auch beide die ACK 1273730252, also die Antwort auf das letzte Paket von meinem Rechner mit der SEQ 1273730251.
Das der Sniffer etwas nicht erfasst kann ich mir auch nicht vorstellen, denn der sieht ja gar nicht sowenige Pakete die für meine Nachbarn bestimmt sind :lol: Ich könnte den selben Test mal mit einer anderen Seite machen. Vielleicht kommt da das gleiche raus. k.A. so wichtig ist das auch wieder nicht, ich hab viel größere Probleme mit der firewall. ...und nein, keine sidewinder (musste googlen um zu sehen was das ist ;) ) |
lieber szt,
ok, interessant wäre es, ob du diese riesen anzahl von paketen nur bekommst, wenn du dich aktiv im internet bewegst, oder ob sie auch kommen wenn dein rechner offline ist. wenn man meinen fall hernimmt (650 mio zu 4,1 mio) ist das recht leicht zu erklären, da ich nicht 24/7 einen rechner im netz habe, meine (hardware) firewall aber trotzdem 24/7 läuft. da ich im chello netz zu hause bin, bekomme ich unzählige syn/ack/rst pakete, die schlicht und ergreifend müll vom internetz sind, da diese pakete nur bei einem verbindungsaufbau bzw. beim versuch eines verbindungsaufbaus stattfinden. d.h. in den meisten fällen sind das unverlangte pakete, wo die herkommen ist mir auch relativ wurscht, weil du davon ausgehen kannst, dass kein seriöser anbieter mal schnell ein paar millionen pakete (und damit irrsinns traffic) durch das internet bläst. als ich mir die ursprungsadressen der entsprechenden connections angeschaut habe, habe ich auch dinge wie cisco, microsoft und chello (neben ettlichen nicht mehr aufzulösenden) gefunden, allerdings bin ich mir sicher, dass weder cisco noch microsoft sich auf verdacht auf meine öffentliche ip verbinden wollen. nachdem es in den meisten fällen ein muster der abgefragten ports gibt, gehe ich von portscans aus, deren absender gefälscht sind. da mittlerweile die meisten firewalls/router einen simplen connection scan abfangen, wurden diese scans weiterentwickelt. ein beispiel ist der halboffene syn scan, wo der "angreifer" ein syn paket zur initierung schickt, auf die antwort des zieles wartet und dann gleich ein rst nachschickt. dadurch wird keine verbindung aufgebaut, der angreifer weiss aber über die offenen ports bescheid. all diese spiele sind im chello netz sehr beliebt, da dort die meisten user 24/7 online sind (und mit etwas glück sich auch die rechner per wol hochfahren lassen...;-)). demnach gibt es für die angreifer (in dem fall rede ich lieber von skript kiddies) jede menge potentiele opfer bzw testumgebungen für ihre spielereien. lange rede kurzer sinn: die pakete erhältst du von rechnern die mit deiner ip adresse kontakt aufnehmen wollen. wenn dein rechner abgedreht ist und die pakete kommen trotzdem, können es nur unverlangte sein = datenmüll und nix seriöses. deine frage zu warum es manche tun und manche nicht: immer wenn zwei computer über tcp miteinander quatschen, werden diese pakete verwendet. das ist auch kein problem. zeitweise sind die implementierungen des proztocols scheinbar nicht ganz sauber und du hast bei manchen servern diese seltsamen probleme, bei anderen wieder nicht. dennoch glaube ich, dass 90% der von dir beschriebenen pakete reiner müll sind. hast du es schon ausprobiert deine kiste abgedreht zu lassen und nacher dein router log anzuschauen? hast du schon deine kiste hochgefahren und ohne aktive programme eine stunde stehen zu lassen? dann hast du grunddaten, wo du davon ausgehen kannst, dass es nur müll ist. wenn du dann eine stunde "normal" im netz unterwegs bist (surfen, mails, wasauchimmer) und dann nochmal die datenmenge anschaust und vergleichts mit der leerlaufmenge, sollten die von der fwall verworfenen pakete nicht exorbitant gestiegen sein, oder? |
@kkdu - ich glaube nicht, das stz den herkömmlichen Paketmüll aus dem Internet meint.
Ich habe den Versuch jetzt mit WCM, DerStandard und 3x mit der GMX Seite wiederholt. Bei WCM und Standard war nix, bei GMX immer das gleiche verhalten und zwar immer "an der gleichen" Stelle, dann wenn das 1x1 transparent GIF "infopixel" von meinem browser angefragt wird Code:
GET /de/cgi/g.fcgi/misc/infopixel HTTP/1.1Code:
HTTP/1.1 302 FoundNur dieser http link wird zusätzlich mit einem TCP RST Paket terminiert, was vielleicht kein Zufall ist. Wozu GMX das 1x1 GIF einsetzt, zum Webdesign oder als Web-Bug, wäre interessant zu wissen. Vielleicht findet sich ja noch ein Web-Profi. Grüße maxb @stz - hast du noch andere "verdächtige" Seiten, vielleicht lässt sich ja ein System rausfinden :D |
@maxb
langsam glaub ich das auch, allerdings wärs gut das sicher zu wissen, d.h. zu testen ob auch ausgeschalteter re´chner, eingeschaltet keine aktivität, eingeschaltet und aktivität.... @1 pixel gif das wurde (zu meiner webdesign zeit*g*) dafür verwendet um das design anzupassen, da 1pixel gifs von allen browsern richtig bzw. gleich behandelt werden, nämlich als grafik. wenn du z.b. einen table baust und eine zelle leer lässt, weil du sie eigentlich als abstand verwenden willst, benehmen sich unterschiedliche browser unterschiedlich in der verarbeitung. oder um z.b. einen genau 2 pixel grossen abstand zu generieren....;-) ob das heute noch immer so ist, weiss ich nicht, könnt mir aber denken, dass es heute nicht ie und netscape sind, die sich da so unterschiedlich verhalten, aber ie und firefox*g* könnt mir denken, dass es vielleicht probleme bei manchen verbindungen gibt, wenn ein 1x1 pixel grosses gif geladen wird, weil es (dateigrössentechnisch) so klein ist, dass es zu schnell heruntergeladen wird und dadurch der automatische verbindungsabbau nicht schnell genug funktioniert....aber ist rein spekulativ *g* |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 13:47 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag