WCM Forum - Einzelnen Beitrag anzeigen

kkdu · 20.10.2005, 12:35

lieber szt,

ok, interessant wäre es, ob du diese riesen anzahl von paketen nur bekommst, wenn du dich aktiv im internet bewegst, oder ob sie auch kommen wenn dein rechner offline ist. wenn man meinen fall hernimmt (650 mio zu 4,1 mio) ist das recht leicht zu erklären, da ich nicht 24/7 einen rechner im netz habe, meine (hardware) firewall aber trotzdem 24/7 läuft. da ich im chello netz zu hause bin, bekomme ich unzählige syn/ack/rst pakete, die schlicht und ergreifend müll vom internetz sind, da diese pakete nur bei einem verbindungsaufbau bzw. beim versuch eines verbindungsaufbaus stattfinden.
d.h. in den meisten fällen sind das unverlangte pakete, wo die herkommen ist mir auch relativ wurscht, weil du davon ausgehen kannst, dass kein seriöser anbieter mal schnell ein paar millionen pakete (und damit irrsinns traffic) durch das internet bläst. als ich mir die ursprungsadressen der entsprechenden connections angeschaut habe, habe ich auch dinge wie cisco, microsoft und chello (neben ettlichen nicht mehr aufzulösenden) gefunden, allerdings bin ich mir sicher, dass weder cisco noch microsoft sich auf verdacht auf meine öffentliche ip verbinden wollen. nachdem es in den meisten fällen ein muster der abgefragten ports gibt, gehe ich von portscans aus, deren absender gefälscht sind. da mittlerweile die meisten firewalls/router einen simplen connection scan abfangen, wurden diese scans weiterentwickelt. ein beispiel ist der halboffene syn scan, wo der "angreifer" ein syn paket zur initierung schickt, auf die antwort des zieles wartet und dann gleich ein rst nachschickt. dadurch wird keine verbindung aufgebaut, der angreifer weiss aber über die offenen ports bescheid.
all diese spiele sind im chello netz sehr beliebt, da dort die meisten user 24/7 online sind (und mit etwas glück sich auch die rechner per wol hochfahren lassen...;-)). demnach gibt es für die angreifer (in dem fall rede ich lieber von skript kiddies) jede menge potentiele opfer bzw testumgebungen für ihre spielereien.

lange rede kurzer sinn: die pakete erhältst du von rechnern die mit deiner ip adresse kontakt aufnehmen wollen. wenn dein rechner abgedreht ist und die pakete kommen trotzdem, können es nur unverlangte sein = datenmüll und nix seriöses.
deine frage zu warum es manche tun und manche nicht:
immer wenn zwei computer über tcp miteinander quatschen, werden diese pakete verwendet. das ist auch kein problem. zeitweise sind die implementierungen des proztocols scheinbar nicht ganz sauber und du hast bei manchen servern diese seltsamen probleme, bei anderen wieder nicht. dennoch glaube ich, dass 90% der von dir beschriebenen pakete reiner müll sind. hast du es schon ausprobiert deine kiste abgedreht zu lassen und nacher dein router log anzuschauen? hast du schon deine kiste hochgefahren und ohne aktive programme eine stunde stehen zu lassen? dann hast du grunddaten, wo du davon ausgehen kannst, dass es nur müll ist. wenn du dann eine stunde "normal" im netz unterwegs bist (surfen, mails, wasauchimmer) und dann nochmal die datenmenge anschaust und vergleichts mit der leerlaufmenge, sollten die von der fwall verworfenen pakete nicht exorbitant gestiegen sein, oder?

20.10.2005, 12:35	#18
kkdu Senior Member Registriert seit: 12.10.1999 Beiträge: 163	lieber szt, ok, interessant wäre es, ob du diese riesen anzahl von paketen nur bekommst, wenn du dich aktiv im internet bewegst, oder ob sie auch kommen wenn dein rechner offline ist. wenn man meinen fall hernimmt (650 mio zu 4,1 mio) ist das recht leicht zu erklären, da ich nicht 24/7 einen rechner im netz habe, meine (hardware) firewall aber trotzdem 24/7 läuft. da ich im chello netz zu hause bin, bekomme ich unzählige syn/ack/rst pakete, die schlicht und ergreifend müll vom internetz sind, da diese pakete nur bei einem verbindungsaufbau bzw. beim versuch eines verbindungsaufbaus stattfinden. d.h. in den meisten fällen sind das unverlangte pakete, wo die herkommen ist mir auch relativ wurscht, weil du davon ausgehen kannst, dass kein seriöser anbieter mal schnell ein paar millionen pakete (und damit irrsinns traffic) durch das internet bläst. als ich mir die ursprungsadressen der entsprechenden connections angeschaut habe, habe ich auch dinge wie cisco, microsoft und chello (neben ettlichen nicht mehr aufzulösenden) gefunden, allerdings bin ich mir sicher, dass weder cisco noch microsoft sich auf verdacht auf meine öffentliche ip verbinden wollen. nachdem es in den meisten fällen ein muster der abgefragten ports gibt, gehe ich von portscans aus, deren absender gefälscht sind. da mittlerweile die meisten firewalls/router einen simplen connection scan abfangen, wurden diese scans weiterentwickelt. ein beispiel ist der halboffene syn scan, wo der "angreifer" ein syn paket zur initierung schickt, auf die antwort des zieles wartet und dann gleich ein rst nachschickt. dadurch wird keine verbindung aufgebaut, der angreifer weiss aber über die offenen ports bescheid. all diese spiele sind im chello netz sehr beliebt, da dort die meisten user 24/7 online sind (und mit etwas glück sich auch die rechner per wol hochfahren lassen...;-)). demnach gibt es für die angreifer (in dem fall rede ich lieber von skript kiddies) jede menge potentiele opfer bzw testumgebungen für ihre spielereien. lange rede kurzer sinn: die pakete erhältst du von rechnern die mit deiner ip adresse kontakt aufnehmen wollen. wenn dein rechner abgedreht ist und die pakete kommen trotzdem, können es nur unverlangte sein = datenmüll und nix seriöses. deine frage zu warum es manche tun und manche nicht: immer wenn zwei computer über tcp miteinander quatschen, werden diese pakete verwendet. das ist auch kein problem. zeitweise sind die implementierungen des proztocols scheinbar nicht ganz sauber und du hast bei manchen servern diese seltsamen probleme, bei anderen wieder nicht. dennoch glaube ich, dass 90% der von dir beschriebenen pakete reiner müll sind. hast du es schon ausprobiert deine kiste abgedreht zu lassen und nacher dein router log anzuschauen? hast du schon deine kiste hochgefahren und ohne aktive programme eine stunde stehen zu lassen? dann hast du grunddaten, wo du davon ausgehen kannst, dass es nur müll ist. wenn du dann eine stunde "normal" im netz unterwegs bist (surfen, mails, wasauchimmer) und dann nochmal die datenmenge anschaust und vergleichts mit der leerlaufmenge, sollten die von der fwall verworfenen pakete nicht exorbitant gestiegen sein, oder?