TCP Reset und TCP Syn/Ack

stz · 19.10.2005, 11:45

Hallo Helferleins.
TCP Reset und TCP Syn/Ack, diese beiden Datenpackete werden anscheinend oft von verschiedenen Servern im Internet verwendet. Meine Firewall filtert diese aus und verwirft sie wenn sie, anscheinend unverlangt, ankommen. Ist ja auch richtig so, da diese wohl auch von Hackern verwendet werden um in fremde PC's/Netze einzudringen. Das FW-Protokol ist voll mit solchen Anfragen diversesten Ursprungs.
Und nun meine Frage:
Wozu verwenden seriose Internetanbieter diese Datenpackete? Warum senden sie diese Datenpackete unverlangt? Das Ausfiltern und Verwerfen dieser Datenpackete hat anscheinend keinen Einfluss auf die einwandfreie Funktion beim Internetsurfen.
Es gibt auch genug Internetanbieter, die auch ohne diese Datenpackete auskommen.
Weis wer darauf eine Antwort?
M.f.G. Stz.

blackeagle1701 · 19.10.2005, 12:13

Hallo stz!

http://www.irc-security.de/?go=Netwo...tection-System

reicht Dir das zur Erklärung ?

Mike

stz · 19.10.2005, 12:22

Danke Mike. Ich habe mal kurz in diese Seite hinein geschaut. Nur wird damit meine Frage nicht beantwortet. Ich fragte: Warum verwenden SERIÖSE Internetanbieter diese unverlangten Datenpackete? Ich konnte bisher keine Fehlfunktionen, durch ausfiltern dieser Daten, feststellen. Also Warum, Wozu?
M.f.G. Stz.

m@rio · 19.10.2005, 12:52

Ich weis zwar nicht was deine tolle Firewall da filtert. Aber diese Pakete sind (in normalen Mengen) völlig normal.

Genaueres zum Thema Three-Way-Handshake unter TCP kannst du hier nachlesen: http://de.wikipedia.org/wiki/Transmi...ntrol_Protocol

LouCypher · 19.10.2005, 13:14

sinn von netzwerken ist nunmal die kommunikation, und damit diese funktioniert müssen nunmal pakete ausgetauscht werden und jeder der mit einem netzwerk verbunden ist wird nunmal solche pakete erhalten, das hat nichts mit hackern oder seriosität zu tun. Ich bin sicher vor deinem haus gehen auch leute vorbei die du nicht kennst und die auch nicht zu dir wollen.

Wenn du genau wissen willst warum, lies dir ein paar faqs zum tcpip protokoll durch.

stz · 19.10.2005, 15:34

Es scheint mir, dass manche Forumsteilnehmer nicht genau lesen, was ich da geschrieben habe.
1. Treten diese Packete nicht in "normalen Maße" auf sondern zu zig-tausenden.
2. Es gibt anscheinend genug Internetanbieter, die es nicht nötig haben diese Packete unverlangt zu senden. Es funktioniert auch ohne.
3. Es handelt sich um die ganz gewöhnliche WinXP-Firewall. Wenn das Protokolieren eingeschaltet wird sieht man die irre Menge an diesen Daten. Mit "PING -a ..." kann man oft feststellen von wem diese Angriffe kommen. Es sind Namen oder IP-Adressen mit denen ich sicher nichts zu tun habe. (Meine HW-Firewall ist dabei natürlich ausgeschaltet.)
4. Meine HW-Firewall sperrt bei unverlangtem Empfang solcher Datenpackete die sendende IP-Adresse für eine einstellbare Zeit, und erst nach einer einstellbaren Anzahl solcher störungen (Threshold). Dadurch ist mir aufgefallen, das auch SERIÖSE Internetanbieter unter gewissen Umständen solche Daten senden, z.B. GMX. Dieser ist gewiss kein Hacker.
Daher nochmals meine Frage:
Wer kennt sich bei Internetprotokolen aus und weiss wozu diese Packete (für friedliche Zwecke) benötigt werden? Beispiele?
M.f.G. Stz.

maxb · 19.10.2005, 16:02

Also gedroppte Pakte aufgrund von "TCP Not SYN" (=TCP-Verbindung existiert nicht (mehr)) habe ich auch zuhauf, die machen bei mir 50% aller gedroppten Pakte aus.

IMHO gibt es viele Ursachen wie es dazu kommen kann. Eine gute Erklärung, die ich gefunden habe, ist z.B. folgende: Eine TCP Verbindung wird von deinem Rechner (warum auch immer) mit einem TCP-Reset Paket abgebrochen, aber der client sendet weiterhin Daten (vielleicht weil sie schon unterwegs waren), die dann aber zu keiner aktiven TCP Verbindung mehr gehören und deswegen von der firewall verworfen werden.

Bei mir tritt es vermehrt ein, wenn ich eine Tauschbörse SW laufen habe und da gibt es ja viele Gründe warum eine Verbindung reseted wird.

Bei Webservern sind's vielleicht irgenwelche http keep-alive pakete die zu alt bzw. obsolet sind.

Mit Hacker/Cracker usw. hat dies aber überhaupt nichts zu tun.

Grüße
maxb

LouCypher · 19.10.2005, 16:39

Wir haben alle richtig gelesen, nur du scheinst die antworten nicht zu verstehen, bzw. nicht verstehen zu wollen.

tcp syn und ack pakete werden dazu verwendet um tcpip verbindungen aufzubauen. Oft sind es viren die nach verseuchten pcs suchen und ganze ipranges scannen. Trotzdem ist das zeug harmlos und gehört mittlerweilen zum internet wie der lärm zur großstadt.

ad1: woher weist du wieviel normal ist wenn du nicht mal weist was sie bedeuten? Bei x millionen pcs, von denen wiederum millionen mit viren verseucht sind sind tausende einträge mehr als normal.

ad2:

ad3: derartige logs ohne filter kannst komplett vergessen, solche logs bestehen nun mal zu 99% aus irrelevanten informationen.

ad4: woher kannst du wissen ob ein pc mit einer gmx eigenen ipadresse nicht mit einem virus infiziert ist?

maxb · 19.10.2005, 16:44

ad4 ist wohl das dümmste feature das eine firewall überhaupt haben kann, das schreit ja richtig nach DOS Attacke mit gefälschter source IP

kkdu · 19.10.2005, 16:48

schön, wenn sich fragenstellende nicht die mühe machen die infos die sie bekommen auch richtig verarbeiten zu versuchen. noch schöner wenn die eigenen unzulänglichkeiten auf die antwortenden abgewälzt werden....

ad 1.: mein gott, wieviel pakete glaubst du flitzen täglich durchs internetz? vielleicht wird grad dein ip range ganz heftig von irgendwelchen ddos armeen heimgesucht oder gepingt oder es sind bei deinem provider wieder eine menge zombie kisten mit würmern unterwegs...

ad 2.) (fast) JEDER computer der mit deinem computer über tcp plaudern will, wird zum verbindungsaufbau einen three way handshake (siehe wiki artikel...) benutzen, d.h. ob seriös oder nicht is wurscht, ein verbindungsaufbau im tcp protocol wird durch ein syn paket initilisiert... d.h. das inetz so wie wir es heute kennen würd ohne syn/ack sicher ganz gut funktionieren....;-) tcp funkt nun mal so und wenn du surfst verschickst (und empfängst) du auch solche pakete...

ad 3.) der punkt "gmx, weil ping -a..": ip absender adressen kann man wunderbar fälschen. gab da mal ein bild auf einer mircosoft konferenz, wo die absender ip adressen mit dem höchsten angriffspotential dargestellt wurden. unter den top 3 war eine ip adresse die nichtmal theoretisch möglich war, microsoft selbst und ich glaub eine aol adresse...

ad 4.) diese funktion ist toll und ist dafür da um denial of service attacken über ping floods zu verhindern. aber auch das wird in den beiden verlinkten artikeln erklärt

soda und um abschliessend nochmal deine frage zu beantworten:
syn pakete werden verwendet um eine tcp verbindung aufzubauen (egal welche, egal ob seriös oder unseriös, das ist notwendig für das funktionieren der tcp welt, also auch surfen, mailverkehr usw...)
ack pakete werden verwendet um den verbindungsaufbau zu bestätigen
und reset pakete werden verwendet um einen verbindungsabbruch herbeizuführen.

böse variante 1:
ein zielcompi wird per millionen syn pakete überflutet und so (grob gesagt) vom netz genommen weil die nw karte bzw. das os nicht mehr weiss was sie tun soll und unter last zusammenbricht.

böse variante 2:
eine beliebte attacke bzw. "spionage" möglichkeit ist ein syn gefolgt von einem reset zu senden, wodurch für den zielrechner keine verbindung zusatnde kommt, aber eventunnel infos übder den compi ausgelesen werden können.

seriöse variante 1:
du willst www.google.at ansurfen, dein rechner schaut im dns nach, wer isn das und versucht sich mit google.at auf port 80 zu verbinden und verwendet dafür einen three way handshake (syn, ack....)

seriöse variante 2:
du willst unterwegs auf deinen rechner zugreifen und baust einen vpn tunnel auf -> du schickst einen syn an deine ip adresse..... usw

19.10.2005, 11:45	#1
stz Veteran Registriert seit: 22.10.2000 Beiträge: 353	TCP Reset und TCP Syn/Ack Hallo Helferleins. TCP Reset und TCP Syn/Ack, diese beiden Datenpackete werden anscheinend oft von verschiedenen Servern im Internet verwendet. Meine Firewall filtert diese aus und verwirft sie wenn sie, anscheinend unverlangt, ankommen. Ist ja auch richtig so, da diese wohl auch von Hackern verwendet werden um in fremde PC's/Netze einzudringen. Das FW-Protokol ist voll mit solchen Anfragen diversesten Ursprungs. Und nun meine Frage: Wozu verwenden seriose Internetanbieter diese Datenpackete? Warum senden sie diese Datenpackete unverlangt? Das Ausfiltern und Verwerfen dieser Datenpackete hat anscheinend keinen Einfluss auf die einwandfreie Funktion beim Internetsurfen. Es gibt auch genug Internetanbieter, die auch ohne diese Datenpackete auskommen. Weis wer darauf eine Antwort? M.f.G. Stz.

19.10.2005, 12:22	#3
stz Veteran Registriert seit: 22.10.2000 Beiträge: 353	TCP Reset und TCP Syn/Ack Danke Mike. Ich habe mal kurz in diese Seite hinein geschaut. Nur wird damit meine Frage nicht beantwortet. Ich fragte: Warum verwenden SERIÖSE Internetanbieter diese unverlangten Datenpackete? Ich konnte bisher keine Fehlfunktionen, durch ausfiltern dieser Daten, feststellen. Also Warum, Wozu? M.f.G. Stz.

19.10.2005, 12:52	#4
m@rio Master Registriert seit: 10.10.2002 Beiträge: 711	Re: TCP Reset und TCP Syn/Ack Ich weis zwar nicht was deine tolle Firewall da filtert. Aber diese Pakete sind (in normalen Mengen) völlig normal. Genaueres zum Thema Three-Way-Handshake unter TCP kannst du hier nachlesen: http://de.wikipedia.org/wiki/Transmi...ntrol_Protocol

19.10.2005, 13:14	#5
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	sinn von netzwerken ist nunmal die kommunikation, und damit diese funktioniert müssen nunmal pakete ausgetauscht werden und jeder der mit einem netzwerk verbunden ist wird nunmal solche pakete erhalten, das hat nichts mit hackern oder seriosität zu tun. Ich bin sicher vor deinem haus gehen auch leute vorbei die du nicht kennst und die auch nicht zu dir wollen. Wenn du genau wissen willst warum, lies dir ein paar faqs zum tcpip protokoll durch. ____________________________________ Greetings LouCypher

19.10.2005, 15:34	#6
stz Veteran Registriert seit: 22.10.2000 Beiträge: 353	Add TCP Reset und TCP Syn/Ack Es scheint mir, dass manche Forumsteilnehmer nicht genau lesen, was ich da geschrieben habe. 1. Treten diese Packete nicht in "normalen Maße" auf sondern zu zig-tausenden. 2. Es gibt anscheinend genug Internetanbieter, die es nicht nötig haben diese Packete unverlangt zu senden. Es funktioniert auch ohne. 3. Es handelt sich um die ganz gewöhnliche WinXP-Firewall. Wenn das Protokolieren eingeschaltet wird sieht man die irre Menge an diesen Daten. Mit "PING -a ..." kann man oft feststellen von wem diese Angriffe kommen. Es sind Namen oder IP-Adressen mit denen ich sicher nichts zu tun habe. (Meine HW-Firewall ist dabei natürlich ausgeschaltet.) 4. Meine HW-Firewall sperrt bei unverlangtem Empfang solcher Datenpackete die sendende IP-Adresse für eine einstellbare Zeit, und erst nach einer einstellbaren Anzahl solcher störungen (Threshold). Dadurch ist mir aufgefallen, das auch SERIÖSE Internetanbieter unter gewissen Umständen solche Daten senden, z.B. GMX. Dieser ist gewiss kein Hacker. Daher nochmals meine Frage: Wer kennt sich bei Internetprotokolen aus und weiss wozu diese Packete (für friedliche Zwecke) benötigt werden? Beispiele? M.f.G. Stz.

19.10.2005, 12:13	#2
blackeagle1701 Master Registriert seit: 05.01.2005 Alter: 62 Beiträge: 502	Hallo stz! http://www.irc-security.de/?go=Netwo...tection-System reicht Dir das zur Erklärung ? Mike

19.10.2005, 16:02	#7
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Also gedroppte Pakte aufgrund von "TCP Not SYN" (=TCP-Verbindung existiert nicht (mehr)) habe ich auch zuhauf, die machen bei mir 50% aller gedroppten Pakte aus. IMHO gibt es viele Ursachen wie es dazu kommen kann. Eine gute Erklärung, die ich gefunden habe, ist z.B. folgende: Eine TCP Verbindung wird von deinem Rechner (warum auch immer) mit einem TCP-Reset Paket abgebrochen, aber der client sendet weiterhin Daten (vielleicht weil sie schon unterwegs waren), die dann aber zu keiner aktiven TCP Verbindung mehr gehören und deswegen von der firewall verworfen werden. Bei mir tritt es vermehrt ein, wenn ich eine Tauschbörse SW laufen habe und da gibt es ja viele Gründe warum eine Verbindung reseted wird. Bei Webservern sind's vielleicht irgenwelche http keep-alive pakete die zu alt bzw. obsolet sind. Mit Hacker/Cracker usw. hat dies aber überhaupt nichts zu tun. Grüße maxb ____________________________________ www.maxb.cc und www.bikeandbeer.info

19.10.2005, 16:39	#8
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Wir haben alle richtig gelesen, nur du scheinst die antworten nicht zu verstehen, bzw. nicht verstehen zu wollen. tcp syn und ack pakete werden dazu verwendet um tcpip verbindungen aufzubauen. Oft sind es viren die nach verseuchten pcs suchen und ganze ipranges scannen. Trotzdem ist das zeug harmlos und gehört mittlerweilen zum internet wie der lärm zur großstadt. ad1: woher weist du wieviel normal ist wenn du nicht mal weist was sie bedeuten? Bei x millionen pcs, von denen wiederum millionen mit viren verseucht sind sind tausende einträge mehr als normal. ad2: ad3: derartige logs ohne filter kannst komplett vergessen, solche logs bestehen nun mal zu 99% aus irrelevanten informationen. ad4: woher kannst du wissen ob ein pc mit einer gmx eigenen ipadresse nicht mit einem virus infiziert ist? ____________________________________ Greetings LouCypher

19.10.2005, 16:44	#9
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	ad4 ist wohl das dümmste feature das eine firewall überhaupt haben kann, das schreit ja richtig nach DOS Attacke mit gefälschter source IP ____________________________________ www.maxb.cc und www.bikeandbeer.info

19.10.2005, 16:48	#10
kkdu Senior Member Registriert seit: 12.10.1999 Beiträge: 163	schön, wenn sich fragenstellende nicht die mühe machen die infos die sie bekommen auch richtig verarbeiten zu versuchen. noch schöner wenn die eigenen unzulänglichkeiten auf die antwortenden abgewälzt werden.... ad 1.: mein gott, wieviel pakete glaubst du flitzen täglich durchs internetz? vielleicht wird grad dein ip range ganz heftig von irgendwelchen ddos armeen heimgesucht oder gepingt oder es sind bei deinem provider wieder eine menge zombie kisten mit würmern unterwegs... ad 2.) (fast) JEDER computer der mit deinem computer über tcp plaudern will, wird zum verbindungsaufbau einen three way handshake (siehe wiki artikel...) benutzen, d.h. ob seriös oder nicht is wurscht, ein verbindungsaufbau im tcp protocol wird durch ein syn paket initilisiert... d.h. das inetz so wie wir es heute kennen würd ohne syn/ack sicher ganz gut funktionieren....;-) tcp funkt nun mal so und wenn du surfst verschickst (und empfängst) du auch solche pakete... ad 3.) der punkt "gmx, weil ping -a..": ip absender adressen kann man wunderbar fälschen. gab da mal ein bild auf einer mircosoft konferenz, wo die absender ip adressen mit dem höchsten angriffspotential dargestellt wurden. unter den top 3 war eine ip adresse die nichtmal theoretisch möglich war, microsoft selbst und ich glaub eine aol adresse... ad 4.) diese funktion ist toll und ist dafür da um denial of service attacken über ping floods zu verhindern. aber auch das wird in den beiden verlinkten artikeln erklärt soda und um abschliessend nochmal deine frage zu beantworten: syn pakete werden verwendet um eine tcp verbindung aufzubauen (egal welche, egal ob seriös oder unseriös, das ist notwendig für das funktionieren der tcp welt, also auch surfen, mailverkehr usw...) ack pakete werden verwendet um den verbindungsaufbau zu bestätigen und reset pakete werden verwendet um einen verbindungsabbruch herbeizuführen. böse variante 1: ein zielcompi wird per millionen syn pakete überflutet und so (grob gesagt) vom netz genommen weil die nw karte bzw. das os nicht mehr weiss was sie tun soll und unter last zusammenbricht. böse variante 2: eine beliebte attacke bzw. "spionage" möglichkeit ist ein syn gefolgt von einem reset zu senden, wodurch für den zielrechner keine verbindung zusatnde kommt, aber eventunnel infos übder den compi ausgelesen werden können. seriöse variante 1: du willst www.google.at ansurfen, dein rechner schaut im dns nach, wer isn das und versucht sich mit google.at auf port 80 zu verbinden und verwendet dafür einen three way handshake (syn, ack....) seriöse variante 2: du willst unterwegs auf deinen rechner zugreifen und baust einen vpn tunnel auf -> du schickst einen syn an deine ip adresse..... usw

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln