Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

öffentliche IP-Adressen

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: fraenki999

fraenki999 (Level 1) - Jetzt verbinden

28.01.2005, aktualisiert 09.01.2009, 8654 Aufrufe, 9 Kommentare

Ich habe auf meinem Router (Draytek) die Firewall konfiguriert. Funktioniert auch alles prima. Hin und wieder zeigt mir die Firewall DoS-Attacken an. Wie kann ich feststellen, wer oder welcher Provider hinter der angezeigte IP-Adresse steckt???
Der Kommentar von atbits wurde vom Moderator am 08.12.16 ausgeblendet!
Mitglied: atbits
28.01.2005 um 16:18 Uhr
Mist da hats mein Posting zerschossen, also nochmal
nslookup [IP-Adresse]
oder unter linux
dig [IP-Adresse]
Bitte warten ..
Mitglied: fraenki999
28.01.2005 um 16:25 Uhr
Schade, ist unbekannt. Wer die Adresse vergibt kann man wohl nicht herausbekommen, oder??
Bitte warten ..
Mitglied: fritzo
28.01.2005 um 17:12 Uhr
Hi,

Du kannst ein whois absetzen:

http://ws.arin.net/cgi-bin/whois.pl

Wenn der entsprechende Range nicht von ARIN selbst verwaltet wird, dann wird der zugehörige Registrar angegeben (zB RIPE o.a.), der dann widerum auf seinen ISP verweist, der dann evtl. seinem Kunden mal ans Bein pinkeln kann.

Bevor Du den entsprechenden ISP dann ansprichst, prüfe bitte erst einmal, ob es sich überhaupt um eine richtige Attacke handelt. Oft zeigen solche Firewall-logs nämlich ziemlichen Müll an, da wird dann aus einem Portscan eine gefährliche Attacke oder aus einem Broadcast wegen eines falsch konfigurierten Gerätes direkt ein dDos.

Wahrscheinlich erhältst Du im Zweifelsfall noch nicht mal eine Antwort. Es lohnt eigentlich meist die Mühe nicht und in der Regel ist das was Du siehst auch nicht wirklich gefährlich. Was siehst Du denn im Log?

Grüße,
fritzo
Bitte warten ..
Mitglied: tzippi
28.01.2005 um 17:12 Uhr
Du kannst damit meistens nur den Provider herausfinden, mehr nicht. Ist in der Symantec Firewall integriert. Da die meisten IP Adressen nur dynamisch genutzt werden bringt es nur damm was wenn man zur Polizei gehen muß, weil eine riesen Attacke gestartet wurde. Diese können dann den User ermitteln.

tzippi
Bitte warten ..
Mitglied: fritzo
28.01.2005 um 20:02 Uhr
Hi,

Du kannst damit meistens nur den Provider
herausfinden, mehr nicht.

Was denn sonst noch? Leider sind Dialin-Hostnamen idR nicht nach dem Muster hans.hacker@terrorkom.tel aufgebaut, das wär ja auch man zu einfach. Anders als über den ISP kommt man eh nicht an irgendwelche Daten; es sei denn, man scannt seinerseits - aber dann ist man eigentlich schon auf der selben Stufe wie der potentielle Angreifer bzw das Scriptkid, das gerade mit roten Bäckchen und einem freudigen Grinsen im Gesicht seinen ersten Portscanner bedient und darauf wartet daß es einen offenen Port findet *moo!*.

Ist in der Symantec Firewall integriert.

Na wenigstens ein nützliches Feature hat das Tool ;-D

Da die meistenIP Adressen nur dynamisch genutzt werden
bringt es nur damm was wenn man zur Polizei
gehen muß, weil eine riesen Attacke
gestartet wurde. Diese können dann den
User ermitteln.

Genau; exakt das, was ich bereits zum Ausdruck gebracht zu haben gehofft hatte. Ein ISP gibt nur dann Daten heraus, wenn eine Straftat vorliegt und er explizit von den netten kleinen grünbraun gekleideten Mützentrollen darum gebeten wird. Ein portscan oder aber auch ein erfolgloser kleiner ddos über Das Große Böse Internet (tm) reicht da meist nicht aus. Man kann sich aber zum Beispiel Charakeristika des entsprechenden Angreifers merken für später (zB für eine Auswertung mit Snort oder zum Googlen nach Attacken im Zusammenhang aus den entsprechenden Ranges). Aber das ist eigentlich alles viel zu aufwendig für einen kleinen Scan. Wenn ich jedem Scan in meinen Logs nachgehen wollte, hätte ich überhaupt keinen Nachtschlaf mehr

Grüße,
fritzo
Bitte warten ..
Mitglied: 7217
29.01.2005 um 08:17 Uhr
Es ist bekannt, dass die durch solche Firewalls (ob in Routern eingebaut oder in Softwareform existent) ausgegebenen Fehlermeldungen und Warnungen bezüglich Attacken absolut unnötig und nur verunsichernd sind.

Wenn du wirklich vernünftige Warnungen erhalten willst, so wäre ein ausgefeiltes Intrusion Detection System fällig, was aber für den Hausgebrauch viel zu teuer und aufwendig ist.

Aber der Hausanwender will ja von einer Firewall mit supertollen Meldungen genervt werden, schließlich will er ein warmes Gefühl im Bauch haben: "das Ding hat mich gerade wieder vor dem Weltuntergang gerettet"...

In meinen Augen sind solche Tools in den Händen einer Person, die absolut nicht weiss, was die Dinger leisten können, absolut unnütze und garnichts wert!

Mupfel
Bitte warten ..
Mitglied: fritzo
30.01.2005 um 04:30 Uhr
Najaaa,

sagen wir mal, daß die Millionen von Windowskisten jetzt wenigstens nicht mehr ganz so einfach zur Datenschleuder für Würmer wie Sasser etc. werden ist doch schon mal was.

IDS - Snort reicht für den Hausgebrauch aus. Aber am besten ist es, einfach alle Dienste zu beenden, die man nicht braucht, schont Ressourcen und Nerven.

Firewall - kann mich noch an meine erste erinnern, da hab ich auch bei jedem Frickel-Vanilla-Portscan direkt nslookup angeschmissen und wollte rausfinden wer mich denn da nun wieder scannt ;) Mann, was für ne unnütze Arbeit das war und wieviel Zeit da drauf ging... am besten ist einfach, nix zu tun außer vielleicht zusehen, daß alles schön dicht ist und bleibt.

Grüße,
fritzo
Bitte warten ..
Mitglied: 7217
30.01.2005 um 11:00 Uhr
Ich wollte ja nicht sagen, dass ich was gegen Firewalls (ob desktop oder andere) habe, sondern ich bin der Meinung, dass die, die sowas einsetzen, sich wirklich über deren Funktionsweise und Fähigkeiten klar sind! Das bedeutet jetzt nicht, dass man dem Marketinggeschwätz auf der Schachtel oder Webseite glaubt und dies auswendig kennt, sondern dass man sich wirklich mal vorher mit der Materie auseinandersetzt, sich mal anschaut, welche Dinge überhaupt beim TCP/IP und den anderen Protokollen (die häufig als Angriff gemeldet werden) passieren!

Ich erläutere jedem meiner Kunden, denen ich sowas einrichte, was genau das Ding kann und was nicht.

Firewalls schützen ja nicht nur vor Angriffen, wenn sie richtig konfiguriert sind, sie können auch massiv den normalen Betrieb empfindlich stören.

Wir arbeiten z.B. sehr viel mit VPN-Verbindungen (Cisco-VPN-Clients). Hier haben schon ettliche Nutzer mit Zonealarm etc. die dumme Erfahrung sammeln müssen, dass ihre VPN-Verbindung nach 5 Minuten (egal, ob idle oder nicht) abbrechen und sie sich nochmal neu anmelden müssen, bei anderen Nutzern bleibt die Verbindung 8h und länger stehen!

Das Ganze passiert nur, weil so eine dämliche Firewall auf dem Rechner falsch konfiguriert wurde. Und das sogar noch, wo wir in unserem Netz für normale Arbeitsplatzrechner garkeine Firewalls empfehlen, weil wir an den Routern der Subnetze schon entsprechend filtern und die Subnetze recht klein sind (32 Hosts z.B.).

Desktop-Firewalls sind in meinen Augen in erster Linie ein wunderbares Mittel zum Geldverdienen - einmal für den Hersteller und zum anderen für Supportdienstleister!

Mupfel
Bitte warten ..
Mitglied: fritzo
30.01.2005 um 17:16 Uhr
Hi Mupfel,

ack - wir haben viel Spaß beim Support von Citrix-Verbindungsproblemen, die durch FWs verursacht werden. Typische erste Frage von mir ist immer "Haben Sie evtl. ein kleines grünes oder gelbes Symbol in der Taskleiste oder ist evtl. SP2 installiert?". Meist ist so der "Fehler" nach 2 Minuten behoben.

Firewalls sind tolllll! Es sei denn, sie laufen auf dem zu schützenden Rechner - da reißen sie oft mehr Löcher als sie schließen und verhindern einen normalen Betrieb.

Grüße,
fritzo
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...