Ein paar Begriffe...

Lesenswerte Artikel, Anleitungen und Diskussionen
mb81
Posts: 60
Joined: 2003-01-13 20:55

Ein paar Begriffe...

Post by mb81 » 2003-03-12 19:01

Ein paar Log Begriffe, wäre nett, wenn die mal jemand erklären könnte. Danke.

source quench
0.0.0.0 redirect {IP} to host 0.0.0.0
dgram to port 137
Transproxy_Bind_Error
ident connection
Bogus TCP Flags

Wichtig, in wie fern könnte es auf einen DoS Angriff hinweisen.

Weiterhin, wie kann man Ports / Services unter Suse abstellen. Dieses "dgram to port 137" nervt was.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ein paar Begriffe...

Post by dodolin » 2003-03-12 19:29

source quench
http://www.iana.org/assignments/icmp-parameters
-> http://www.faqs.org/rfcs/rfc792.html

Das wird dir mit einer 100 MBit/s Anbindung wahrscheinlich öfter passieren, vermute ich. Kein Grund zur Sorge.
0.0.0.0 redirect {IP} to host 0.0.0.0
Keine Ahnung. Ist halt etwas schwierig, so ganz ohne Zusammenhang. Wo hast du die Meldung her? Was stand noch dabei, etc.?
dgram to port 137
Jo, das sind kaputte Windows-Clients. Das kommt halt vor, wenn man sich "im Internet" bewegt. Wenn es dich stört, schalte halt das Logging ab.
Transproxy_Bind_Error
Schwierig, so ohne Infos, siehe oben.
ident connection
http://www.google.com/search?q=rfc+ident
http://www.fefe.de/docs/ident.txt
Bogus TCP Flags
Da kam wohl ein Paket an, das andere TCP Flags gesetzt hatte, als erwartet. Könnte z.B. ein Portscanner oder sowas gewesen sein. Auch kein Grund zur Sorge.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ein paar Begriffe...

Post by captaincrunch » 2003-03-12 21:54

Ich verschiebe mal ins Security, da die Frage wohl ursprünglich etwas damit zu tun hatte ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Ein paar Begriffe...

Post by scythe42 » 2003-03-13 00:31

source quench
RFC 792: Ein Gateway kann Datagrams verwerfen, wenn es nicht den Platz im Buffer hat um das Datagram in die Warteschleife für die Ausgabe in das nächste Netzwerke auf der Route ins Zielnetzwerk zu schicken. Wenn das Gateway dies tut, dann kann (muss aber nicht) es eine sogenannte "Source Quench Message" an die Quelle des Datagrams schicken. Oder auch dann, wenn Datagrams zu schell zum abarbeiten ankommen. Die Source Quench Message ist nichts anderes, als eine freundliche Bitte an den Sender, etwas langsamer zu machen. Das Gateway kann für jedes Datagram so eine Nachricht verschicken. Erhält der Sender die Source Quench Message, dann sollte er die Datenrate was runterschrauben bis er keine Source Quence Messages mehr erhält. Dann fängt er Sender wieder an die Datenrate langsam zu erhöhen bis er wieder Source Quench Messages erhält.
Normalerweise sendet ein Gateway Source Quench Messages BEVOR es das Limit erreicht, damit keine Daten verloren gehen.

Haste bei nem Internet-Rechner relativ häufig, völlig normal. Wenn dem nicht so wäre würdest du Daten verlieren, wenn z.B. jemand mit mehr Leistung Daten bei dir abfragen will. Ist wie gesagt für jeden Host der Fall. Dein Rechner ist halt busy. Wenn du unter ein DoS stehst dann ist das meistens das letze, was du im Log siehst ;-) Aber dann direkt zig tausend mal hintereinander bevor ggf. die Kernel-Panic kommt oder paar Dienste versagen ;-)
0.0.0.0 redirect {IP} to host 0.0.0.0
RFC 792: Ein Gateway verschickt redirect Messages an einen Host, wenn es dein Datagram von einem Host erhält, der in an einem Netzwerk befindet in dem das Gateway auch ist. Also das Packet nicht geroutet werden soll sondern normal über's LAN kommen soll. Und das sagt das Gateway dem Sender.

0.0.0.0 heisst default Gatway. Die Nachricht kommt bei 1und1 wohl wg. der Subnet Mask von 255.255.255.255, da jeder Traffic übers Gateway muss. auch fürs eigene Netz. Bin da aber nicht so 100%ig sicher, da ich 255.255.255.0 verwende. Was interessieren mich die anderen Hosts im meinem Subnetz? Diese Subnetmask ist an sich schon eine RFC Verletzung, da eine Subnet Mask in der Form illegal ist. Aber die haben wohl keine anständigen Layer 3 Switche mit Accouting Funktion oder können die mit ihrer Soft nicht nutzen.
dgram to port 137
Ein Datagramm für Port 137 (NetBios Name Service - WINS ist die Implementation bei Windows). Zwei Varianten. Jemand versucht sich auf Port 137 zu verbinden oder es ist ein Windows bei dem Netbios an eine Internetverbindung gebunden ist. Bei Windows ist das der Fall, wenn man z.B. "Client für Windows-Netzwerke" an eine Internet Schnittstelle bindet. Vornehmlich sind Win95/98 Clients falsch konfiguriert. Wird du ziemlich oft sehen. Klassische Windows-Fehlkonfiguration, weil 95/98 immer die Windows Dienste drangebunden haben, weil sie Internet-Verbindunen wie RAS-Verbindungen in andere Windowsnetze betrachtet haben. Oder nutzen Windows Würmer auf Security Exploits auf TCP 137 bzw. jemand scannt nach dem Dienst um eine Sicherheitslücke auszunutzen... Und was soll? Da du kein Netbios over TCP bzw. keinen falsch konfigurierten Windows Server fährst, kannst du das völlig ignorieren. Die Häufigkeit kommt wie gesagt von Windows Clients, deren Benutzer eben ihre DFÃ?-Netzwerk-Settings nicht geprüft haben. Die haben ne fette Sicherheitslücke auf ihrer Seite ;-)
Transproxy_Bind_Error
Die Verbinudung zu einem tranparenten Proxy schlägt fehl. Schalt mal im Kernel ggf. "CONFIG_IP_TRANSPARENT_PROXY" aus wenn du es da an hast. Fährst wohl kaum auf einem Roorserver einen transparenten Proxy. Alternativ ists auch ein versuch den "transparent proxy" bug aus ner Kernel Serie von 1998 (so um 2.0.3x) auszunutzen, bei dem man, wenn dieses Feature aktiviert war nen "ACK Storm" erzeugen konnte und ggf. die Kiste dicht gemacht hat. Falsch konfigurierte Proxy Settings auf Port 80 sind auch denkbar. Aber meistens ist es nen Scan...
ident connection
Eine Ident Connection halt. Dein Server bersucht halt den Absender zu idenzifizieren bzw. den sicherzustellen. Erst wenn das klappt wird kommuniziert. Hast du gerne bei Mail-Servern und FTP ganz gerne. Siehe dazu das Thema hier, wo Leute immer Probleme mit langsamen Mail bzw. FTP Verbindungen haben, weil sie eine Personal-Firewall verwenden ("lach tot") und den Ident Request droppen. IRC z.B. nutzt ident. Such mal im Google für Details über ident...
Bogus TCP Flags
Im TCP Packet sind unglültige TCP Flags. Wird gerne von Scannern verwendet um das laufende Betriebsystem festzustellen. Jedes OS Antwortet auf bestimmte Packete anders, so das man durch das senden von bestimmten Packeten indenzifiziern kann.
Wichtig, in wie fern könnte es auf einen DoS Angriff hinweisen.
Gar nicht, ist business as usual - völlig normal... DoS Indikator schonmal gar nicht - wenn du einen DoS Angriff auf deine Kiste hast, dann geht da nichts mehr. Brauchst du kein Logfile für, das merkst du schnell genug ;-)

DoS (Deinial of Service) ist vereinfachst gesagt: ein Server so mit Traffic zumüllen, dass der nicht mehr antworten kann und ggf. Dienste abschmieren. Dies macht man normalerweise auf DNS Server, um diese auszuschalten und dann deren Identität anzunehmen um z.B. Firewalls zu durchdringen.
Achja, und DoS ist die Standardausrede der Garagen-Hoster (S4F z.B) wenn mal wieder im Netz Probleme waren, weil der Admin im Suff über den Router gestolpert ist und man das nicht zu geben will ;-)
Weiterhin, wie kann man Ports / Services unter Suse abstellen. Dieses "dgram to port 137" nervt was.
Gar nicht. Wenn ein Dienst drauf läuft, dann Anwortet was, wenn jemand auf einem Port anfragt, wo nichts drauf läuft, dann ist das völlig egal. Ist so als wenn jemand bei dir zu Hause klingelt, wenn du nicht da bist. Wen juckt's...

Einfach so einen Müll nicht loggen! So was musst du in deinem Logger konfigurieren. Der Logger muss an deine Bedürfnisse angepasst werden, nicht das System an den Logger!

Der Begriff "offener Port", hat nur beim Packet Filtering mit einer Firewall eine Bedeutung. Ein "offener Port" bedeutet, dass der Screening Router ein Packet auf diesem Port von einem Netz in ein anderes lässt. Auf einem Recher mit nur einer Netzwerkkarte ist Packet Filtering eh völliger Schwachsinn. Oder "Wo nix routen, da nix Packet Filtering!" Oder willste zwischen deiner externen IP und Localhost routen?

Was loggst du egentlich den ganzen Schwachsinn auf IP Ebene? Ist doch egal. Vor nem Exploit schützt dich kein lokales Log. Ist jemand drauf, schaltet der sofort das Loggig ab und löscht seine Einträge. Und wenn ein möglicher Angriff abgewiesen wird, dann ist es ja wohl noch mehr egal. Ist so als würdest du wissen wollen, wer deine Wohnung von aussen anguckt, weil das könnte ja nen Einbrecher sein und du deswegen eine Kamera auf die Strasse gerichtet hast. Ist der Einbrecher inner Wohnung nimmt er das Band eh mit. Und bricht er nicht ein, brauchste es auch nicht aufzeichen - qed.

Bei Internetservern wird gerne z.B. über die serielle Schnittstelle auf einen anderen Rechner geloggt (olfi wollte demnächst mal ein Remote Logging How to schreiben, glaube ich), damit man im Fall der Fälle ein Eindringen nachvollziehen kann was passiert ist.

Fazit: Locker machen, alles ok...

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: Ein paar Begriffe...

Post by [tom] » 2003-03-13 01:38

scythe42 wrote: Fazit: Locker machen, alles ok...
Du hattest wohl gerade langeweile, oder? :-)

Klasse Erklärungen. jetzt fehlt mal wieder die Bookmarfunktion hier im Brett. Mach da doch was für die FAQ draus. Das wird bestimmt öfter gelesen.

[TOM]

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ein paar Begriffe...

Post by captaincrunch » 2003-03-13 07:56

Mach da doch was für die FAQ draus. Das wird bestimmt öfter gelesen.
Dem kann ich mich nur voll und ganz anschließen !
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dspeicher
Posts: 167
Joined: 2002-05-20 20:16
Location: Hörstel

Re: Ein paar Begriffe...

Post by dspeicher » 2003-03-13 07:58

ich schließe mich auch an, falls es das fördert, dass der beitrag für die FAQ aufbereitet wird :lol:

gruß

Daniel

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: Ein paar Begriffe...

Post by [tom] » 2003-03-13 12:19

DSpeicher wrote:ich schließe mich auch an, falls es das fördert, dass der beitrag für die FAQ aufbereitet wird :lol:
Es motiviert den Schreiber. ;-)

[TOM]

mb81
Posts: 60
Joined: 2003-01-13 20:55

Re: Ein paar Begriffe...

Post by mb81 » 2003-03-21 18:53

Ok, dann mal die Frage, wenn "dgram to port 137" so unbedenklich ist.

Wenn man davon mal 800-1500 Pakte ein paar mal hintereinander bekommt, ist das nicht etwas merkwürdig ?

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Ein paar Begriffe...

Post by floschi » 2003-03-21 19:20

scythe42 wrote:(olfi wollte demnächst mal ein Remote Logging How to schreiben, glaube ich),
Uups, sorry - das wird wohl noch etwas dauern - aber wer gerne aus Sourcen kompiliert und nen zweiten Server hat, findet mit den Stichworten syslog-ng, stunnel, remote, logging einige mehr oder weniger nützliche Howtos - der Querschnitt ist aber verwnedbar ;)