Hi,
Ich habe mir ntop auf meinem Server installiert und wollte jetzt wissen, ob man damit eventuelle
DOS Attacken erkennen kann. Also die IP des Angreifers rausbekommen.
Oder kann mir jemand ein besseres Tool empfehlen ?
ps.: Hilft eine Firewall gegen DOS Attacken ? Wenn mir einer fette PINGS schickt kann ich doch eigentlich nichts dagegen machen ?!
Danke
Frage zu ntop und ähnliche tools
Re: Frage zu ntop und ähnliche tools
Genau, gegen DoS hilft dir nix, weder ntop noch 'ne Firewall.
Und die IP's sind uninteressant da eh gefaked oder kompromittierte Systeme.
D.Görsch.
Und die IP's sind uninteressant da eh gefaked oder kompromittierte Systeme.
D.Görsch.
Re: Frage zu ntop und ähnliche tools
Nun, zur Erkennung eines Angriffs kann ntop (Du kannst auch mal mit cacti und SNMP spielen) durchaus hilfreich sein.
Eine ganz andere Thematik ist die Verhinderung von Angriffen. Die geht zwangsläufig erstmal garnicht. Insbesondere *oS-Angriffe sind (als Nicht-Carrier) eigentlich kaum zu verhindern -- schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum.
Und dann gibt es noch die Sache mit den "Beweismitteln". Es gibt anscheinend Kriterien, unter denen auch deutsche Gerichte bereit sind, Logs und dergleichen als beweiskräftige Dokumente anzuerkennen. Ich würde mich an Deiner Stelle mit einem guten Rechtsanwalt (Fachanwälte nennt Dir Deine örtliche Anwalltskammer gerne) und der örtlichen Niederlassung des LKA zusammensetzen, um in Erfahrung zu bringen, wie die Rahmenbedingungen in Deinem konkreten Fall auszusehen haben. Aber erwarte nicht, dass die Erfüllung dieser Rahmenbedingungen einfach oder sogar billig sind.
Eine ganz andere Thematik ist die Verhinderung von Angriffen. Die geht zwangsläufig erstmal garnicht. Insbesondere *oS-Angriffe sind (als Nicht-Carrier) eigentlich kaum zu verhindern -- schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum.
Und dann gibt es noch die Sache mit den "Beweismitteln". Es gibt anscheinend Kriterien, unter denen auch deutsche Gerichte bereit sind, Logs und dergleichen als beweiskräftige Dokumente anzuerkennen. Ich würde mich an Deiner Stelle mit einem guten Rechtsanwalt (Fachanwälte nennt Dir Deine örtliche Anwalltskammer gerne) und der örtlichen Niederlassung des LKA zusammensetzen, um in Erfahrung zu bringen, wie die Rahmenbedingungen in Deinem konkreten Fall auszusehen haben. Aber erwarte nicht, dass die Erfüllung dieser Rahmenbedingungen einfach oder sogar billig sind.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Frage zu ntop und ähnliche tools
Urgs...musstest du jetzt unbedingt Gibson als schlechtestes aller Beispiele aus dem Hut zaubern? ;)schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Frage zu ntop und ähnliche tools
Was findest Du daran schlecht? Ich finde seine Beschreibungen der Angriffe sehr anschaulich und deshalb auch für Leute mit weniger theoretischem Background wesentlich wertvoller als so manche White Papers ;)
Ich bezieh' mich allerdings nur auf seine Schriften -- was er auf seiner Seite bzw. mit seiner Firma veranstaltet sollte jeder für sich bewerten ;)
Ich bezieh' mich allerdings nur auf seine Schriften -- was er auf seiner Seite bzw. mit seiner Firma veranstaltet sollte jeder für sich bewerten ;)
Re: Frage zu ntop und ähnliche tools
BTW., CC erachtest Du, pers. Meinung, den Gibson als "ganz dicht" ? :?:CaptainCrunch wrote:Urgs...musstest du jetzt unbedingt Gibson als schlechtestes aller Beispiele aus dem Hut zaubern? ;)schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Frage zu ntop und ähnliche tools
Lass es mjich so fomulieren: die Analyse des DOS auf seine Seite war mit Abstand das beste, das der Mann jemals hervorgebracht hat. ;)
Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Frage zu ntop und ähnliche tools
:) Na denn :) - dachte schon ich stehe mit meiner Meinung alleine daCaptainCrunch wrote:Lass es mjich so fomulieren: die Analyse des DOS auf seine Seite war mit Abstand das beste, das der Mann jemals hervorgebracht hat. ;)
Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
- macht soo einsam - Danke StefRe: Frage zu ntop und ähnliche tools
Ich muss gestehen, dass ich mir außer den zwei, drei DoS-Papieren nichts anderes von dem Kerl angesehen hab (und das war vor grob zwei Jahren). Aber grcsucks.com fällt, auch wenn sie interessante Informationen bereitstellen, in die eigene Grube. Die Art und Weise, wie sie die Inhalte ihrer Seite gestalten ist imho um keinen Deut besser als grc.com (Anspruch vs. Realität).CaptainCrunch wrote:Lass es mjich so fomulieren: die Analyse des DOS auf seine Seite war mit Abstand das beste, das der Mann jemals hervorgebracht hat. ;)
Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
Ganz abgesehen davon: Vor allem im Bereich "Security" sollte man es sich abgewöhnen, kritiklos alles anzunehmen was irgendwo geschrieben steht (bestes Beispiel imho ist die aktuelle Sasser-Diskussion). Ob der Kerl nun richtig "tickt" oder grüne Sackhaare hat geht mir sowas von knapp am A*** vorbei ... ;)
Re: Frage zu ntop und ähnliche tools
FULL ACKdea wrote:....Vor allem im Bereich "Security" sollte man es sich abgewöhnen, kritiklos alles anzunehmen was irgendwo geschrieben steht...
8) daß das nu bloß kein Trend wird :lol:...Ob der Kerl nun ...grüne Sackhaare ...