Firewall - Attake, was soll ich machen?
 

Hallo Leute.

Ich habe hier ein kleines LAN, das ich mit einer Firewall geschützt habe. Seit gestern Nachmittag bekomme ich 2-3x pro Stunde eine "Smurf Amplification Attack" von verschiedenen IP-Adressen. Was ist das denn und wie kann ich da was unternehmen?

Danke

Chris

welche firewall - profil ausfüllen!

bei zonealarm unter alerts auf moreinfo klicken,und schon gibts alles über den übeltäter ;)

bei den letzten versionen von zonealarm gibts diese infos glaub ich nicht mehr!?

zumindest nicht in der gratisversion.

das sagt google dazu:

und noch ein guter link mit umfangreicher beschreibung:
http://www.pentics.net/denial-of-ser...pers/smurf.cgi

__________________________________________________ __________
Ich habe hier ein kleines LAN, das ich mit einer Firewall geschützt habe. Seit gestern Nachmittag bekomme ich 2-3x pro Stunde eine "Smurf Amplification Attack" von verschiedenen IP-Adressen. Was ist das denn und wie kann ich da was unternehmen?
__________________________________________________ __________

Wie gut ist die FW?

Ist sie gut, ist Vorsicht geboten, entweder versucht dich jemand in einen DDoS Angriff einzubinden oder du sollst das Opfer sein.

ICMP Echo Reply abdrehen.

Die Smurf FAQ http://www.ircnetops.org/smurf/faq.php

Einen schnellen Überblick auf deutsch findest du auf
http://www.dbg.rt.bw.schule.de/lehre...heit/img15.htm
und den folgenden Seiten.


hth
g17

UUPS! Valo war schneller

in der neuen 3.x schon!

nur in der pro oder in der normalen auch?

hatte immer nur die pro ;)

Auf Deutsch is doch gmütlicher ;)
 

Normale "denial of service" (DoS) - Angriffe

Mit diesen Angriffen versucht der Angreifer ein Netzwerk oder eine Firewall unbrauchbar zu machen, indem er es/sie mit Paketen flutet oder mit bestimmten Paketen zu crashen versucht, oder es/sie vom Rest des Netzes irgendwie trennt.

Das Problem dabei ist, dass sich niemand davor wirklich schützen kann. Selbst wenn es der Angreifer nicht schafft, das lokale und geschützte Netzwerk zu fluten, so kann er doch alle Zugänge des geschützten Netzwerkes zum Internet zu fluten versuchen oder stillegen (sofern diese nicht genug geschützt sind).

oder diese Variante

2.1.3 "denial of service" - Angriffe mit ICMP-Paketen

Hierbei handelt es sich um Angriffe bei denen der angegriffene Host funktionsunfähig wird, indem man ihm suggeriert dass es verschiedene Probleme mit seiner Netzwerkverbindung gibt.

Man kann einem Host ein ICMP-Paket senden welches ihm mitteilt, dass er eine neue Route verwenden soll, die überhaupt nicht funktioniert. Der Host wird also seine Pakete in die falsche Richtung senden, und sein Ziel nicht erreichen.

Oder man sendet ihm ein "ICMP Network Unreachable"-Paket welches dem Host mitteilt, dass er Pakete in dieses Netzwerk nicht mehr senden kann, da es unerreichbar ist. Der Host geht dann davon aus, dass er wirklich keinen Zugang mehr in die von dem Angriff betroffenen Netze hat, und verweigert das Senden von weiteren IP-Paketen in diese Netze.

MFG Lordkevlar

@lordkevlar
sind die "zugänge" jetzt mit zonealarm genug geschützt oder nicht. verwende derzeit vers. 2.6.362

Hi, Danke für Eure Antworten. Ich habe mich ein wenig schlau gemacht, ganz kapiere ich das aber noch nicht. Ich habe eine Sonicwall - Hardware - Firewall, die Smurf-Attacken erkennt und abwehrt. Das Problem ist aber, daß ich seit nunmehr 48 Stunden alle 20 Minuten eine Meldung bekomme, daß wieder eine Attacke "gedroppt" wurde. Kann ich eigentlich irgendetwas dagegen tun oder kann ich nur warten, bis das wieder aufhört? Soll ich mit dem ISP reden? Ich habe das Grundprinzip der Attacke verstanden, aber ich weiß eigentlich nicht recht, was ich unternehmen kann.

Chris

wennst eine FW rennen hast bist im Grunde eh geschützt! Also am besten ignorieren das hört schon wieder auf!

Er kann aber schon auch vom ISP verlangen das der filtert.

Gestohlen aus einem Smurf-Thread im Usenet:

<Zynismus> Schließlich verdienen die an smurfs, wenn die Kunden ein Volumen statt Bandbreite einkaufen. </Zynismus>



g17