Frage zu ntop und ähnliche tools

Lesenswerte Artikel, Anleitungen und Diskussionen
sweetchuck1612
Posts: 17
Joined: 2004-04-01 00:22

Frage zu ntop und ähnliche tools

Post by sweetchuck1612 » 2004-05-12 11:19

Hi,
Ich habe mir ntop auf meinem Server installiert und wollte jetzt wissen, ob man damit eventuelle
DOS Attacken erkennen kann. Also die IP des Angreifers rausbekommen.
Oder kann mir jemand ein besseres Tool empfehlen ?

ps.: Hilft eine Firewall gegen DOS Attacken ? Wenn mir einer fette PINGS schickt kann ich doch eigentlich nichts dagegen machen ?!

Danke

d.goersch
Posts: 72
Joined: 2002-06-23 20:31
Location: Viersen

Re: Frage zu ntop und ähnliche tools

Post by d.goersch » 2004-05-12 11:43

Genau, gegen DoS hilft dir nix, weder ntop noch 'ne Firewall.
Und die IP's sind uninteressant da eh gefaked oder kompromittierte Systeme.


D.Görsch.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Frage zu ntop und ähnliche tools

Post by dea » 2004-05-12 15:20

Nun, zur Erkennung eines Angriffs kann ntop (Du kannst auch mal mit cacti und SNMP spielen) durchaus hilfreich sein.

Eine ganz andere Thematik ist die Verhinderung von Angriffen. Die geht zwangsläufig erstmal garnicht. Insbesondere *oS-Angriffe sind (als Nicht-Carrier) eigentlich kaum zu verhindern -- schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum.

Und dann gibt es noch die Sache mit den "Beweismitteln". Es gibt anscheinend Kriterien, unter denen auch deutsche Gerichte bereit sind, Logs und dergleichen als beweiskräftige Dokumente anzuerkennen. Ich würde mich an Deiner Stelle mit einem guten Rechtsanwalt (Fachanwälte nennt Dir Deine örtliche Anwalltskammer gerne) und der örtlichen Niederlassung des LKA zusammensetzen, um in Erfahrung zu bringen, wie die Rahmenbedingungen in Deinem konkreten Fall auszusehen haben. Aber erwarte nicht, dass die Erfüllung dieser Rahmenbedingungen einfach oder sogar billig sind.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu ntop und ähnliche tools

Post by captaincrunch » 2004-05-12 16:57

schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum
Urgs...musstest du jetzt unbedingt Gibson als schlechtestes aller Beispiele aus dem Hut zaubern? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Frage zu ntop und ähnliche tools

Post by dea » 2004-05-13 15:22

Was findest Du daran schlecht? Ich finde seine Beschreibungen der Angriffe sehr anschaulich und deshalb auch für Leute mit weniger theoretischem Background wesentlich wertvoller als so manche White Papers ;)

Ich bezieh' mich allerdings nur auf seine Schriften -- was er auf seiner Seite bzw. mit seiner Firma veranstaltet sollte jeder für sich bewerten ;)

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Frage zu ntop und ähnliche tools

Post by silentfog » 2004-05-13 15:24

CaptainCrunch wrote:
schau' Dir Beschreibungen einiger solcher Angriffe an (z.B. unter http://www.grc.com) und Du verstehst warum
Urgs...musstest du jetzt unbedingt Gibson als schlechtestes aller Beispiele aus dem Hut zaubern? ;)
BTW., CC erachtest Du, pers. Meinung, den Gibson als "ganz dicht" ? :?:

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu ntop und ähnliche tools

Post by captaincrunch » 2004-05-13 16:14

Lass es mjich so fomulieren: die Analyse des DOS auf seine Seite war mit Abstand das beste, das der Mann jemals hervorgebracht hat. ;)

Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Frage zu ntop und ähnliche tools

Post by silentfog » 2004-05-13 16:20

CaptainCrunch wrote:Lass es mjich so fomulieren: die Analyse des DOS auf seine Seite war mit Abstand das beste, das der Mann jemals hervorgebracht hat. ;)

Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
:) Na denn :) - dachte schon ich stehe mit meiner Meinung alleine da :wink: - macht soo einsam :wink: - Danke Stef

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Frage zu ntop und ähnliche tools

Post by dea » 2004-05-13 21:47

CaptainCrunch wrote:Lass es mjich so fomulieren: die Analyse des DOS auf seine Seite war mit Abstand das beste, das der Mann jemals hervorgebracht hat. ;)

Mit dieser Meinung stehe ich allerdings nicht allein da, diverse Beispiele, welchen Mist der Mann sonst verzapft finden sich (z.B.) unter http://www.grcsucks.com/
Ich muss gestehen, dass ich mir außer den zwei, drei DoS-Papieren nichts anderes von dem Kerl angesehen hab (und das war vor grob zwei Jahren). Aber grcsucks.com fällt, auch wenn sie interessante Informationen bereitstellen, in die eigene Grube. Die Art und Weise, wie sie die Inhalte ihrer Seite gestalten ist imho um keinen Deut besser als grc.com (Anspruch vs. Realität).

Ganz abgesehen davon: Vor allem im Bereich "Security" sollte man es sich abgewöhnen, kritiklos alles anzunehmen was irgendwo geschrieben steht (bestes Beispiel imho ist die aktuelle Sasser-Diskussion). Ob der Kerl nun richtig "tickt" oder grüne Sackhaare hat geht mir sowas von knapp am A*** vorbei ... ;)

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Frage zu ntop und ähnliche tools

Post by silentfog » 2004-05-14 13:49

dea wrote:....Vor allem im Bereich "Security" sollte man es sich abgewöhnen, kritiklos alles anzunehmen was irgendwo geschrieben steht...
FULL ACK
...Ob der Kerl nun ...grüne Sackhaare ...
8) daß das nu bloß kein Trend wird :lol: