Und? Laut deiner Beschreibung deines Scripts kann ein potenzieller "Angreifer" (wo wir einmal wieder bei der nie endenden Diskussion angekommen sind, ob ein Portscan einen Angriff darstellt) es nach X Minuten/Stunden/Tagen erneut probieren.es ist portsentry *piep* egal in welchen zeitabstaenden pakete eintrudeln - sobald ein paket auf einen unerwuenschten port trifft, wird dieser bei mir automatisch gedroppt (default portsentry reaktion).
Wo ist da bitte der große Vorteil? Klar hältst du Scriptkiddies damit ab, die nach leichten Zielen suchen, aber wer sich wirklich dran festbeißt, bringt auch diese Geduld auf.
"ueberhax0r" braucht nicht zwangsläufig einen "ach so gefährlichen" Portscan, um Dienste zu erkennen, die potenziell angreifbar sind. Um ein z.B. ein unsicheres Script auszunutzen, das auf einem frei zugänglichen Webserver angeboten wird, kann man sich den Portscan getrost sparen.koenntest du dann bitte ausformulieren, warum ein ueberhax0r keine probleme mit portsentry hat?
Unter Self-DOS fasse ich (seit Anbeginn dieses Threads), dass die Gefahr, durch einen Angreiferhae? self-dos, portsentry floodet die iptables
a) selbst, oder
b) für den Server essentiell erreichbare Hosts (z.B. den davorstehenden Router
ausgesperrt zu werden nicht wirklich klein ist.
OK, den Router davor und ein paar wichtige Hosts kannst du ausschließen, sofern du aber einmal ein paar andere Threads hier zum Thema Portsentry liest, wirst du feststellen, dass die allermeisten, die das Tool ohne Sinn und Verstand einsetzen an solche Sachen nicht mal denken.
Eben, denn wenn erstmal alleine zigtausend Hosts aus dem T-Offline-Netz bei dir über einen gewissen Zeitraum geblockt sind, hast du dir selbst bereits ziemlich ins Knie geschossen.Du sagst, das es einfach ist, mit den decoy scans eine Dos attacke hervor zu rufen.
Falsch, die muss ich nicht erst angeben, es reicht, wenn ich mir vorher eine Liste erstelle, und die kreativ in den nmap-Aufruf intergriere.Dies ist theoretisch moeglich, jedoch praktisch kaum umsetzbar, da du ja die ganze zeit neue decoys einfuegen muesstest (dauert viel zu lange)
Exakt das meine ich: Durch deine freundliche Mithilfe hat ein "Angreifer" u.U. zigtausend Hosts von deiner Kiste abgeschnitten, schlimmstenfalls auch dich selbst, während du in dieser Zeit nicht einmal annährend wissen kannst, was derjenige gerade treibt. Haargenau davon rede ich die ganze Zeit.und diese wiederum portsentry nach dem ersten scan auf einen port wiederum *piep* egal sind, weil sie dann per iptables gedropped sind.
1. Wir haben also erkannt, dass wir hier über zwei verschiedenen Arten von DOS reden.da kann man dann eben nur das beste draus machen, und zwar so gut wie moeglich paket filtern, bzw. alles unnoetige im dos fall zu droppen.
2. Wieder falsch: das einzige, was du in dem Fall machen kannst ist, dem Provider ein hartes Trafficlimit zu setzen. Du kannst noch so viel droppen, rejecten und auch die Kiste runterfahren: bei genügend Traffic zahlst du dich dumm und dämlich, außer du hast o.g. vertraglich vereinbart.
Die guten Jungs lächeln einmal, sobald sie erkannt haben, dass du Portsentry nutzt, und suchen sich viel subtilere Wege für's nächste Mal: um einen Webserver zu erkennen brauche ich nur einen Browser, um einen laufenden MTA zu erkennen, brauche ich gerade mal telnet, usw. usf.Die "guten jungs" sind so schnell gedroppt, dass sie nicht mehr, als das result eines "script-kiddie-scans" erhalten
Darüber hinaus (s.o.) kommt der allergrößte Teil sämtlicher Portscans von irgendwelchen Scriptkiddies, die automatisiert IP-Ranges abscannen, die für leichte Ziele berühmt sind.
Sorry, aber man merkt, dass du hier noch nicht allzu viele Beiträge gelesen hast. Denkst du wirklich noch, dass die ganzen Billighoster so kulant sind? Mit genau solchen Dingen wie "Kunde hat X TB Ã?bertraffic" (Achtung, Stilmittel der Ã?bertreibung) wird der Mietpreis durch Mischkalkulationen doch erst möglich!aber du glaubst doch wohl selbst nicht, das dir dein isp traffic berechnet, obwohl deine kiste ausgeschaltet war!
Sofern du es nicht schriftlich hast, dass du nicht mehr als X GB Traffic überschreitest, wird dir jedenfalls niemand aus purem Mitleid die Kohle erlassen.
