xDSL.at

[medice]

weil du durch das abschalten des sendens einer antwort auf einen ping nur zurückschreist
"HIER IS NIEMAND!!!!"
(merkst was?)

das stimmt nur bedingt, ich kann dir ganze C-Class Netze nennen, wo du keine antwort bekommst, trotzdem versteckt sich hinter keiner IP ein host.
nicht jeder router sendet ein unreachable - somit wird es sehr mühsam, alle IPs durchzuscannen, da nimmt man sich doch lieber welche, die offensichtlich online sind.

greets

wesentlich einfacher - und darum macht das Schadsoftware sehr gerne - ist es, einfach auf gut Glück IPs (bzw Dienste auf ihnen) zu kontaktieren und ggf. halt einen "Misserfolg" zu haben, da braucht man sich nicht die Mühe und Fehlerquelle antun herumzuICMPen.

Für die Zeitgenossen, die meinen, da draußen sitzen Leute, die es ganz persönlich und speziell auf einen abgesehen haben: diese Leute da draußen lassen sich von solchen ICMP-Spielereien schon gar nicht abschrecken

[jutta]

> wesentlich einfacher - und darum macht das Schadsoftware sehr gerne - ist es, einfach auf gut Glück IPs (bzw Dienste auf ihnen) zu kontaktieren und ggf. halt einen "Misserfolg" zu haben, da braucht man sich nicht die Mühe und Fehlerquelle antun herumzuICMPen.

die kuemmern sich nicht einmal drum, ob die ip adressen existieren koennen auszug aus einem tcp-dump:

Code: Alles auswählen

> 3627  56.496278 83.64.169.63 -> 172.66.164.245 TCP 1031 > 135 [SYN] Seq=139748799 Ack=0
> Win=64240 Len=0
> 3628  56.506690 83.64.169.63 -> 172.182.234.121 TCP 1032 > 135 [SYN] Seq=139803528 Ack=0
> Win=64240 Len=0
> 3629  56.508177 83.64.169.63 -> 172.200.227.98 TCP 1033 > 135 [SYN] Seq=139868557 Ack=0
> Win=64240 Len=0
> 3630  56.510161 83.64.169.63 -> 172.164.14.62 TCP 1034 > 135 [SYN] Seq=139908838 Ack=0
> Win=64240 Len=0
> 3631  56.516600 83.64.169.63 -> 172.45.77.31 TCP 1035 > 135 [SYN] Seq=139953562 Ack=0
> Win=64240 Len=0
> 3632  56.518578 83.64.169.63 -> 172.160.236.49 TCP 1036 > 135 [SYN] Seq=140016804 Ack=0
> Win=64240 Len=0
> 3633  56.523542 83.64.169.63 -> 172.124.31.142 TCP 1037 > 135 [SYN] Seq=140075322 Ack=0
> Win=64240 Len=0
> 3634  56.523544 83.64.169.63 -> 172.214.110.143 TCP 1038 > 135 [SYN] Seq=140136515 Ack=0
> Win=64240 Len=0
> 3635  56.523557 83.64.169.63 -> 172.135.31.140 TCP 1039 > 135 [SYN] Seq=140197052 Ack=0
> Win=64240 Len=0
> 3636  56.525025 83.64.169.63 -> 172.58.153.74 TCP 1040 > 135 [SYN] Seq=140256073 Ack=0
> Win=64240 Len=0
> 3637  56.526513 83.64.169.63 -> 172.37.130.160 TCP 1041 > 135 [SYN] Seq=140309388 Ack=0
> Win=64240 Len=0
> 3638  56.528987 83.64.169.63 -> 172.251.232.115 TCP 1042 > 135 [SYN] Seq=140360355 Ack=0
> Win=64240 Len=0
> 3639  56.529978 83.64.169.63 -> 172.165.76.170 TCP 1043 > 135 [SYN] Seq=140418838 Ack=0
> Win=64240 Len=0
> 3640  56.531960 83.64.169.63 -> 172.57.238.174 TCP 1044 > 135 [SYN] Seq=140460707 Ack=0
> Win=64240 Len=0
> 3641  56.533450 83.64.169.63 -> 172.95.145.209 TCP 1045 > 135 [SYN] Seq=140499894 Ack=0
> Win=64240 Len=0

geschichte dazu ist uebrigens im forum archiviert:
http://xDSL.at/viewtopic.php?t=24741

[littlety]

>weil du durch das abschalten des sendens einer antwort auf einen ping nur zurückschreist
>"HIER IS NIEMAND!!!!"
>(merkst was?)

Jeder, der meine öffentliche IP anpingt, erhält ein Timeout, das haben wir gestern gründlich getestet.
Ich nehme doch an, daß das kein Zurückschreien ist, oder?

Tatsache ist,
daß ich mir in 6 Jahren Internet nicht einen Virus oder was auch immer eingehandelt habe -
und ich bin absolut nicht böse, wenn das so bleibt...

[jutta]

Jeder, der meine öffentliche IP anpingt, erhält ein Timeout, das haben wir gestern gründlich getestet.
Ich nehme doch an, daß das kein Zurückschreien ist, oder?

wer sagt denn, dass derjenige pingt?

kommt dir das irgendwie bekannt vor?

Code: Alles auswählen

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-07-16 09:11 CEST
Interesting ports on 85.127.xx.xx:
Not shown: 1678 filtered ports
PORT      STATE SERVICE
3306/tcp  open  mysql
12000/tcp open  cce4x

Nmap finished: 1 IP address (1 host up) scanned in 229.461 seconds


ps:
PORT STATE SERVICE
68/udp closed dhcpc

[Verian]

Das Prozessoren durchaus fehlerbehaftet sind, sollte jetzt keinen wundern. Das solche Fehler auch ausnutzbar sind, dagegen auch nicht.

Klar, derjenige der es gezielt auf sowas anlegt, findet in der Regel einen Weg diese Lücke auszunutzen.
Was das OS angeht, in der Regel verwenden ja alle handelsüblichen OS die selben Kommunikationsstandards und Schnittstellen, dass man überhaupt in einem Netzwerk zusammenarbeiten kann. Somit kann ich mir schon vorstellen, dass es egal ist welches OS gerade läuft.
Spielt wahrscheinlich nur ne Rolle, welche Sicherheitsmechanismen man umgehen muss für besagtes OS, die Hardware drunter ist aber beim Beispiel Core 2 Duo ident. Wenn jeder Chip die selben Fehler hat, aufgrund der Bauweise und Fertigung ist theoretisch jeder Rechner angreifbar, sofern der Angreifer weiß wie er die Lücke nützt.
Kann mir aber gut vorstellen, das eventuelle Commando Sätze zu Instabilität und Abstürzen führen könnte, zerstören, denk ich mal, wird nicht gehen.

[wicked_one]

Jeder, der meine öffentliche IP anpingt, erhält ein Timeout, das haben wir gestern gründlich getestet.

Ein Timeout heisst noch lange nicht, dass sich dort nicht ein Gerät befindet.
Jeder halbwegs vernünftige Scanner lässt sich von einem ICMP-Timeout nicht auf die Idee bringen nicht trotzdem einen Portscan durchzuführen (siehe juttas Post).

Ich gratuliere zu 6 Jahren Virenfreiheit ... dies aber einem abgedrehtem ICMP Responder zuzuschreiben ... naja.

[hotze_com]

ganze C-Class Netze nennen

Was ist ein "C-Class Netz" (oder auch "Class-C Netz")?

[wicked_one]

http://de.wikipedia.org/wiki/Netzklasse ... etzklassen

[Gorbag]

@hotze: Als Provider solltest du eigentlich wissen, was ein C-Class Netz ist, oder? *verwundert bin*

[jutta]

class c netze gibts schon seit vielen jahren nicht mehr. (1993 iirc). trotzdem haelt sich der ausdruck hartnaeckig.

[Gorbag]

@jutta: Du hast mich gerade daran erinnert, wie alt ich denn nun schon bin

[littlety]

>kommt dir das irgendwie bekannt vor?
>3306/tcp open mysql
>12000/tcp open cce4x

Mir schon,
ob man aber über MySQL oder Trillian Schadcode einschleusen kann, weiß ich nicht.
Wie auch immer:
Die Level 8 - Software Brain Build 1.0 funktioniert noch, und das nicht einmal schlecht...

[medice]

Laut obigem Wiki-Artikel - wenn ich ihn richtig verstanden habe - ist ein Class-C Netz aber ein bißchen was anderes als es mitunter verwendet wird
mir kommt der Begriff Class C nämlich immer synonym mit einem /24 Netz (lt. CIDR Notation) unter

[radditz]

Daher wurden die IP-Klassen im Jahr 1993 per RFC 1518 und RFC 1519 durch das Classless Inter-Domain-Routing ersetzt. Bei CIDR werden innerhalb des gesamten Adressraumes Netze in flexiblen Größen vergeben, folglich ist eine Ableitung der Netzgröße aus der IP-Adresse nicht mehr möglich.

Und imho ist das mit dem /24 nicht so verkehrt, schließlich steht auch beim ursprünglichen Class-C Netz, dass die ersten 24 Bit fix vergeben sind, nur die restlichen 8 sind frei wählbar.

Steht übrigens auch hier:
http://de.wikipedia.org/wiki/CIDR#Eine_.C3.9Cbersicht
Es handelt sich aber dabei um Größen, nicht um Netze.

[jutta]

> ob man aber über MySQL oder Trillian Schadcode einschleusen kann, weiß ich nicht.

ich auch nicht, aber vl. weiss jemand anderer hier mehr. mir ging es in erster linie um deine aussage, dass du sicher bist, weil dein rechner nicht auf ping antwortet.

auf datenbanken sollte man normalerweise nur vom localhost oder von einzelnen ausgewaehlten hosts zugreifen koennen.

> Die Level 8 - Software Brain Build 1.0 funktioniert noch, und das nicht einmal schlecht...

das ist eh das wichtigste, aber die uebrigen sicherheitsstrategien sollte man von zeit zu zeit ueberdenken und an die aktuellen gegebenheiten anpassen. (vor 20 jahren war ein mailserver mit open relay ein selbstverstaendlicher dienst fuer die allgemeinheit, heute wuerde er binnen kurzem als spamschleuder missbraucht, vor 20 jahren konnte man telnet, rsh, ftp ohne bedenken im internet verwenden, das ist lange vorbei, usw. )