Ping bewusst sperren

[gdesign]

Hi Jungs,

habe mich hier sehr belesen damit ich euch net gleich auf den Sack geh. Habe mir auch nen Haufen Bücher gekauft zum Thema Linux & Apache (6 Stück :-D ) *g* jetzt habe ich aber direkt mal eine Frage so ..

und zwar ist es doch möglich den Ping auf den Server zu deaktivieren, sprich das der Server einfach net reagiert wenn man ihn anpingt, habe schon gehört via ucp (?) oder sowas in der Art .. oh oh .. ich sehs schon kommen werde bestimmt verflucht und beschimpft werden :? ... aber ich denke ihr wisst was ich meine ... (man pingt nen server an und der macht halt einen auf offline obwohl er es net ist) ... ->

a) wie kann man diesen zustand hevorrufen?
b) hätte ich durch diesen eventuelle nachteile? bzw wirkt sich das irgendwie negativ auf irgendetwas aus ..

das wars schon .. thx a lot :lol:

[Anonymous]

würde bestimmt gehen , ist aber nich ratsam, weil dadurch wahrscheinlich andere service denken dein server schickt kein ping zurück und es würde zum ping timeout führen, es hat in etwa die gleichen wirkung wie zb. iptables -A INPUT -j DROP ... was willst du damit überhaupt bezwecken ;) ?

[lambras]

> würde bestimmt gehen , ist aber nich ratsam, weil dadurch wahrscheinlich andere service denken dein server schickt kein ping zurück und es würde zum ping timeout führen

*seufz*
"wuerde bestimmt", "wahrscheinlich"
Du willst dich ueber ICMP informieren, bevor du mutmasst.

gDesign: Selbstverstaendlich kannst du ICMP blocken, wenn du lustig bist. Einen Vorteil sehe ich darin allerdings ueberhaupt nicht. Als "Hackerschutz" o.ae. voellig unbrauchbar.

[[monk]]

a) wie kann man diesen zustand hevorrufen?
b) hätte ich durch diesen eventuelle nachteile? bzw wirkt sich das irgendwie negativ auf irgendetwas aus ..

Tach,
zunächst mal würde ich nicht generell sagen pings sollen immer verboten werden. Das hat mehr Nachteile als Vorteile.
Was machst du z.b. wenn du ein Game-Server laufen hast? Dann kann dich keiner anpingen.

Ich würde dir eher empfehlen Pings nur in einer bestimmten Rate zu beantworten damit man z.B. Mißbrauch des Dienstes verhindert er aber dennoch für andere erreichbar ist


Da es aber jedem selber überlegt sein sollte geb ich dir jetzt beide Lösungen.

Folgender Code schaltet den Ping immer ab:

Code: Select all

# Echos auf Pings abschalten
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all 

# Auf Anfragen an den Broadcast auch nicht antworten.
# (z.B.: smurf attacke)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 

Folgender Code beantwortet nur in einem bestimmten Zeitintervall die Pings:

Code: Select all

#Code von Hand geschrieben und nicht getestet, könnte somit Fehler enthalten
iptables -N ping-flood 
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ping-flood
iptables -A ping-flood -m limit --limit 1/s -j RETURN 
iptables -A ping-flood -j DROP 

Das dient aber nur als Beispiel. Befasse dich am besten noch etwas mit dem Protkoll ICMP und deren verschiedenen typen. Dann würdest du schnell feststellen das man evtl. auch den Typ blocken könnte, welcher die route abändern kann.

Wie gesagt vieles hat Vorteile und Nachteile.

Ich hoffe dir weitergeholfen zu haben.

[gdesign]

@monk
danke für die detaillierte auskunft ... jetzt wo ich weiß wie das heisst kann ich mich dazu auch bissi belesen ;-)

@lambras
"hackerschutz" .. ähm klar kein schutz in dem sinne ..

--

.. ich dachte halt nur wenn der server pings einfach ignoriert dann entsteht ja durch massenpingattacken *g* auch kein traffic oder irre ich mich da? einen gameserver habe ich eh net am start von daher ... weiss net wie gesagt muss mich mal da reinlesen - aber sinn zu machen scheints net so wie ich das hier so mitbekomme ;-)

danke für die antworten !!!

[Anonymous]

Doch, Traffic entsteht dir dan trotzdem. Zwar weniger, aber dennoch.
Beispiel: Du sitzt in einem haus und jemand wirfst dir die ganze Zeit Ziegelsteine durchs Fenster. Draußen sitzt einer (1&1) der dievorbeigeflogenen Ziegelsteine nachzählt.
So, jetzt hast du folgende Optionen: Du wirfst die Ziegelsteine wieder zurück, dann fliegen insgesamt eben mehr vorbei. Oder aber du lässt die Ziegelsteine einfach bei dir liegen - dann zählt die Person draußen aber noch immer alle Ziegelsteine die reingeflogen sind.

[majortermi]

@[Olli]:
Cooler Vergleich, werde ich mir merken!

[rootmaster]

icmp==ping ??? tzztzz.. ;)

"back to the roots"

[gdesign]

@ Olli

ja klar aber wenn ich die steine net zurückwerfe entsteht doch schon weniger traffic oder? *g* oder wirft der eh wesentlich mehr steine so das meine eh net ins gewicht fallen würden ? ;-)

[Anonymous]

Du wirfst die Ziegelsteine wieder zurück, dann fliegen insgesamt eben mehr vorbei.

:lol:
Natürlich hast du weniger Traffic wenn du keine Bestätigungen versendest, aber wenn jemand einen ICMP-Flood verursacht werden die Empfangenen Packete in der Regel wesentlich größer als die ausgehenden sein. Eine Blockierung von ICMP-Paketen ist komplett deine Sache, auch wenn meiner Meinung nach dei nachteile überwiegen.

[cybernd]

abgesehen davon was nutzt es ihm denn schon? :o)

wenn da ne icmp flut daherkommt und er die auf seinem server blocked - der traffic selbst wird doch genauso gemessen, da ja die packete schon einen hop vorher von irgendeinem provider"gerät" an seinen server weitergesendet wurden

die einzige chance die er da hätte, läge darin das der provider selbst maybe die eine oder andere attacke bereits abwürgt

(ich glaube kaum, das es für einen rootserver Besitzer von bedeutung ist, das bei einer attacke mit laufendem service am port z.b. durch stack overflow {insofern das mit aktuellem o/s überhaupt noch möglich ist} sich der server festfahren könnte, sodaß man ihn resetten müsste - denn bevor der fall eintritt bricht einem der traffic preis von 1&1 das genick :o)

aber nur meine meinung
cybi

[mweigand]

und an geht das ganze wieder?

[oxygen]

Außerdem erfüllt ICMP ja einen Zweck, zum Monitoring etc einfach unabdingbar.

[cybernd]

yep ack zu oxygen

cybi

[captaincrunch]

Nicht nur zum Monitoring. ICMP ist ein grundlegendes Protokoll, das bei weitem nicht nur dazu dient, "echo replies" rauszusenden, sondern es kann viel mehr : http://www.rfc-editor.org/rfc/rfc792.txt

ICMP komplett zu dekativieren ist daher ziemlich sinnbefreit, wenn man ganz paranoid ist, sperrt man höchestens gewisse ICMP-Arten.

[dodolin]

http://www.iks-jena.de/mitarb/lutz/usen ... Verstecken

Bitte lesen und verstehen. Jeder mit auch nur "etwas" Ahnung, wird also sehr wohl merken, ob der Rechner jetzt online ist oder nicht.

So, und hier noch ein Thread aus der Newsgruppe:
http://groups.google.de/groups?hl=de&lr ... 26rnum%3D1

Die 2 Links dazu:
http://www.little-idiot.de/firewall/zusammen-118.html (unten auf der Seite)
http://www.cymru.com/Documents/icmp-messages.html

Im Prinzip ist nur ICMP Redirect gefährlich. Vom nächsten Router aus sollte man es aber sinnigerweise trotzdem erlauben. Alles andere ICMP sollte man nicht blocken, da es mehr schadet als nutzt.

[mutombo]

wenn wir schon dabei sind, das beliebte standardmäßige dropen von packets per iptables auf unbenutzen ports ist auch nicht unbedingt sinnvoll.
es verlangsamt zwar portscans, allerdings ist sich der angreifer hierbei auch sofort im klaren darüber das auf der anderen seite eine firewall läuft und "stealth" is mal dadurch schonmal garnicht.
Ein normales Reset tuts auch.
is natürlich nur IMHO :)

[captaincrunch]

wenn wir schon dabei sind, das beliebte standardmäßige dropen von packets per iptables auf unbenutzen ports ist auch nicht unbedingt sinnvoll.

Wurde im Security-Forum schon ziemlich oft angesprochen. Ansonsten (um mal dodolin vorzugreifen ;) ) : http://www.iks-jena.de/mitarb/lutz/usen ... .html#Deny

ABER :

es verlangsamt zwar portscans, allerdings ist sich der angreifer hierbei auch sofort im klaren darüber das auf der anderen seite eine firewall läuft und "stealth" is mal dadurch schonmal garnicht.

Ein Portscan ist noch lange kein Angriff, sondern nur eine vollkommen legitime Abfrage, auf welchem Port ein Dienst lauscht.

[anyware]

Wurde im Security-Forum schon ziemlich oft angesprochen. Ansonsten (um mal dodolin vorzugreifen ) : http://www.iks-jena.de/mitarb/lutz/usen ... .html#Deny

Diese Diskussion wird wohl auch nie aufhören. Auf jeden pro REJECT Artikel kommt vermutlich ein pro DENY Artikel. Ich gehöre eher zur DENY Fraktion ...

[mutombo]

Wurde im Security-Forum schon ziemlich oft angesprochen. Ansonsten (um mal dodolin vorzugreifen ;) ) : http://www.iks-jena.de/mitarb/lutz/usen ... .html#Deny

sorry, da war wohl wer zu faul zum suchen :oops:

ABER :
Ein Portscan ist noch lange kein Angriff, sondern nur eine vollkommen legitime Abfrage, auf welchem Port ein Dienst lauscht.

vollkommen legitim ? Wies gesetzlich aussieht weiß ich leider nicht, aber provider sehen das doch als abuse. Fremde rechner scannen kann dann schonmal mit ner mahnung enden. Aber logisch, eigentlich sind sowas wie portscanner ja da, das man seine eigenen systeme überprüft.

Aber wenn z.b. jemand unbekanntes mal an allen türen meines autos rüttelt und guckt ob eine offen ist, dann würde ich ihn auch davon abhalten bzw würde ich es zumindest als feindseeliges verhalten werten.

[captaincrunch]

Wies gesetzlich aussieht weiß ich leider nicht,

Ich bin zwar kein Anwalt, weiß aber aus gesicherter Quelle, das Portscanning nicht strafbar ist.

Fremde rechner scannen kann dann schonmal mit ner mahnung enden

Schon mal erlebt ? Ich nicht ...

Aber wenn z.b. jemand unbekanntes mal an allen türen meines autos rüttelt und guckt ob eine offen ist, dann würde ich ihn auch davon abhalten bzw würde ich es zumindest als feindseeliges verhalten werten.

Wenn er so blöd ist, dich das merken zu lassen ist das sicherlich dein gutes Recht, um aber mal wieder auf den eigentlichen Punkt zurückzukommen : sämtliche Scriptkiddies, die ihren Windoof-Portscanner über ganze Netze jagen (was durchaus mit dem Türen-Beispiel vergleichbar ist) haben es ohnehin ncht anders verdient, vor denen brauchen sich aber nur die wenigsten Panik zu machen.

Grundsätzlich halte ich es für sinnbefreit, sich Sorgen darüber zu machen, da investiere ich meine Zeit lieber in die Absicherung meiner Dienste.

[mutombo]

Fremde rechner scannen kann dann schonmal mit ner mahnung enden

Schon mal erlebt ? Ich nicht ...

Jupp, hab so ne mail schonmal von den rosa jungs bekommen. Man wird darauf hingewiesen das sowas als angriff gewertet wird, das es ne Vertragskündigung nach sich ziehen kann und man seinen rechner doch mal auf trojaner oder ähnliches überprüfen soll.
naja ist nun auch schon 2 jahre her.

Grundsätzlich halte ich es für sinnbefreit, sich Sorgen darüber zu machen, da investiere ich meine Zeit lieber in die Absicherung meiner Dienste.

ich finds einfach nur interessant sich mal über sowas zu unterhalten, allerdings bin ich ja auch erst ein paar tage hier im forum, vielleicht gehen mir solche themen auch irgendwann mal auf den geist ;)

[captaincrunch]

ich finds einfach nur interessant sich mal über sowas zu unterhalten

Finde ich auch, vor allem lernen da bestimmt noch einige was dazu.

Mannomann, wie ungeschickt muss man sich denn anstellen, um eine Abmahnung vom Rosa Riesen zu kriegen ... ;)

[mutombo]

Finde ich auch, vor allem lernen da bestimmt noch einige was dazu.

Mannomann, wie ungeschickt muss man sich denn anstellen, um eine Abmahnung vom Rosa Riesen zu kriegen ... ;)

so wies aussieht hat der betroffene einfach seine logs an abuse geschickt und die haben das dann an mich weitergeleitet.
naja irgendwie muß mans ja lernen ;)

[dodolin]

Jepp, strafbar ist ein Portscann zu 100% nicht, aber die AGBs mancher Provider können das natürlich trotzdem verbieten. Insofern kann der ISP dann natürlich abmahnen und/oder den Vertrag kündigen.