RST-Angriff???

Rund um die Sicherheit des Systems und die Applikationen
newbie
Posts: 63
Joined: 2003-04-03 18:34

RST-Angriff???

Post by newbie » 2004-01-29 01:23

Hallo,

heute Abend erreichte mich folgendes per eMail:
[Schnipp]
28.01.2004 22:40:03 Port gescannt 217.160.221.53 TCP(2562) TCP(2563)
28.01.2004 22:40:04 Rst Angriff 217.160.221.53 -> 217.160.221.53

Unterlassen Sie in Zukunft solche Methoden, andernfalls werde ich rechtliche Schritte einleiten.
[Schnapp]
Was bitte soll dieser RST-Angriff sein und kann es wirklich sein, dass soetwas von meinem Server ausgegangen ist? Falls ja, wie finde ich die Quelle raus und kann dem vorbeugen?

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: RST-Angriff???

Post by Outlaw » 2004-01-29 02:00

217.160.221.53 -> 217.160.221.53 ??

Was soll das sein ?? Scannt sich das Teil selber ?? Ist das Deine IP oder die des "Angegriffenen" ??

Gruß Outi

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: RST-Angriff???

Post by mutombo » 2004-01-29 07:39

1. Von WEM kahm diese mail? vielleicht nen schlechter scherz?

2. Da steht nur eine ip in deinem ausschnitt, also wer soll da wenn angegriffen haben?

grüße christian

newbie
Posts: 63
Joined: 2003-04-03 18:34

Re: RST-Angriff???

Post by newbie » 2004-01-29 09:22

Hallo,

die 217.160.221.53 ist die IP meines Servers.
Die Mail kam von einem T-Onlinekunden. Da mit dem Header der Mail, soweit ich das erkennen kann, alles in Ordnung ist, gehe ich auch zumindest davon aus, dass er die Mail wirklich selber geschrieben hat.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: RST-Angriff???

Post by captaincrunch » 2004-01-29 09:31

Nun ja, dann lass es mich so ausdrücken. Wenn das seine einzigen "Beweise" sein sollen, würde ich mich köstlich über diese Mail amüsieren, mal ganz davon abgesehen, dass dieser "Angriff" an sich schon ziemlich lustig ist.

Da scheint sich jedenfalls jemand mit gefährlichem Halbwissen ziemlich wichtig machen zu wollen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: RST-Angriff???

Post by mutombo » 2004-01-29 09:33

frag ihn mal welches tolle stück software ihm diesen attackreport ausgegeben hat :)

suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: RST-Angriff???

Post by suntzu » 2004-01-29 09:34

Newbie wrote:
[Schnipp]
28.01.2004 22:40:03 Port gescannt 217.160.221.53 TCP(2562) TCP(2563)
28.01.2004 22:40:04 Rst Angriff 217.160.221.53 -> 217.160.221.53
[Schnapp]
Was bitte soll dieser RST-Angriff sein und kann es wirklich sein, dass soetwas von meinem Server ausgegangen ist?
Dass dein Server RST verschickt ist erstmal nix schlimmes, das ist sogar als ein Flag in TCP so gewollt.
Das Einzige, was sein könnte ist, dass dein Server die ganze Zeit zu sich selber TCP-Verbindungen aufbaut. Dann hätte aber der Absender der Mail nix damit zu tun.

Daher gilt, was CaptainCrunch gesagt hat: Ignorieren.

Gruß,
Dominik

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: RST-Angriff???

Post by dodolin » 2004-01-29 10:08

... davon abgesehen, dass es gut sein kann, dass er selbst diesen "Angriff" initiert hat, z.B. indem er eine bei dir gehostete Webseite ansieht. Wenn der Timeout der statefull "Firewall" (eher Spielzeugsoftware, vermutlich) abgelaufen ist, dein Server aber noch ganz korrekt Antwortpakete schickt, kann sowas vorkommen. Ganz davon abgesehen, dass Dritte deine IP gespooft haben könnten bzw. dich mit seiner gespooften IP gescannt haben könnten (was wiederum RST von dir an die gespoofte IP produziert, im korrekten Fall).

Also einfach ignorieren. Antworten halte ich für sinnfrei, der DAU würde die Antworten sowieso nicht verstehen... :)

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: RST-Angriff???

Post by standbye » 2004-01-29 10:18

ich würd antworten ;) schon allein des spasses halber

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: RST-Angriff???

Post by Outlaw » 2004-01-29 11:28

Das würde ich nicht spasseshalber machen, das kann ganz schön nach hinten losgehen, auch wenn ein Nichtantworten aussieht wie ein Schuldeingeständnis. Denn wenn es einer darauf anlegt und die Sache landet vor Gericht, überzeuge dann mal einen Richter.

Ich erinnere mich auch an einen Fall (vor kurzem hier), wo erstmal die ganze EDV daheim abgeholt wurde (zur Beweissicherung), nur weil jemand behauptet hat, der Rootserver hätte SPAM verschickt ....

Zudem kann es ja auch ein Mailaddysammler sein, der auf ne Reaktion wartet um zu prüfen, ob die Addy übrhaupt noch existiert.

Wenn man trotzdem antworten will/muss, dann eben so kurz wie möglich und mit so wenig Angriffsfläche wie möglich.
(und ebenfalls mit einem "Seitenhieb" auf den Anwalt)

Gruß Outi

Oder schreib Ihm, wenn er nochmal spammt, ....
(Aber nur, wenn Du eine Schuld wirklich von Dir weisen kannst)

checker
Posts: 113
Joined: 2003-06-09 13:17

Re: RST-Angriff???

Post by checker » 2004-01-29 13:56

Outlaw wrote:Das würde ich nicht spasseshalber machen, das kann ganz schön nach hinten losgehen, auch wenn ein Nichtantworten aussieht wie ein Schuldeingeständnis. Denn wenn es einer darauf anlegt und die Sache landet vor Gericht, überzeuge dann mal einen Richter.

Gruß Outi
Direkt vor Gericht?
Das halte ich vor Quatsch, es wurde doch gesagt das diese Attacke nichts wirklich schlimems ist und man schon andere Beweise vorbringen muss!

Aber antworten würde ich auch nicht, einfach ignorieren.....

MfG

newbie
Posts: 63
Joined: 2003-04-03 18:34

Re: RST-Angriff???

Post by newbie » 2004-01-29 22:08

Na, also bisher hab ich es ignoriert, da ich erstmal eure Meinung dazu hören wollte. Ich werde es dann auch weiter ignorieren :wink:

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: RST-Angriff???

Post by rootmaster » 2004-01-30 15:52

dodolin wrote:Wenn der Timeout der statefull "Firewall" (eher Spielzeugsoftware, vermutlich) abgelaufen ist, dein Server aber noch ganz korrekt Antwortpakete schickt, kann sowas vorkommen.
hört sich ganz nach outpost firewall an 8)
es kann durchaus sein, dass keine ACK am server ankamen und das mit einem RST quittiert wurde ;)

"back to the roots"