Angriff: Syn-flood attempt
Walter Large
ich habe von Firewalls wenig Ahnung. Deshalb habe ich mir auch den
Gatelock-X 200-Router als Hardware-Firewall zugelegt.
Gestern meldete mir die Firewall, dass meine IP-Adresse Ziel einer
DoS-Attacke namens "syn-flood attempt" war und nennt mir zahlreiche
IP-Adressen (wohl getürkte), unter denen die Angriffe erfolgten.
Fragen:
1) Ignorieren
Kann man das einfach ignorieren oder was sollte man tun?
2) Proxy-Server
Wenn ich über einen Proxy-Server ins Internet gehe, kann ich dann
solche Attacken vermeiden?
Welche Vorteile oder Nachteile haben denn Proxy-Server eigentlich?
Gruß, Walter
Jens Liebchen
Hallo Walter,
> ich habe von Firewalls wenig Ahnung. Deshalb habe ich mir auch den
> Gatelock-X 200-Router als Hardware-Firewall zugelegt.
Das ist etwas seltsam. "Ich habe von Kommunikation keine Ahnung, deshalb
habe ich mir ein Telefon gekauft". Scheinbar nutzt Du die
Firewallfunktionalität ja, insofern wirst Du nicht drumherum kommen, Dir
auch die entsprechenden Grundlagen anzueignen.
> Gestern meldete mir die Firewall, dass meine IP-Adresse Ziel einer
> DoS-Attacke namens "syn-flood attempt" war und nennt mir zahlreiche
> IP-Adressen (wohl getürkte), unter denen die Angriffe erfolgten.
Was heißt das, wenn das Dein Router sagt?
Eine SYN Paket wird bei TCP für den Verbindungsaufbau genutzt, allgemein
versteht man unter einer SYN-Flood-Atacke einen Denial of Service Angriff,
wobei der Angreifende (oder die Angreifenden) viele SYN Pakete abschicken
und Dein Rechner dann evtl. versucht, Verbindungen aufzubauen. Da keine
Antwort kommt, und Dein Rechner nett ist, verbraucht er einige Ressourcen,
um die Verbindungen aufzubauen.
In Deinem Fall ist das aber völlig egal, denn Dein Router wird wohl kaum
eine Verbindung aufbauen, wenn er nicht irgendeinen Dienst anbietet.
Vermutlich ist auch die Fehlermeldung völlig daneben, denn eine SYN-Flood
Atacke gibt es nur, wenn überhaupt etwas vorhanden ist, was man angreifen
könnte. Wenn nichts da ist, sind das nur Versuche eines Verbindungsaufbaus.
> 1) Ignorieren
Ja, klar. Was willst Du sonst machen?
> 2) Proxy-Server
> Wenn ich über einen Proxy-Server ins Internet gehe, kann ich dann
> solche Attacken vermeiden?
Wenn Du in einem Netzwerk bist, hast Du eine eindeutige Adresse und kannst
damit zum Ziel einer Verbindung werden. Das ist völlig egal, ob Du über
einen Proxyserver arbeitest oder nicht.
> Welche Vorteile oder Nachteile haben denn Proxy-Server eigentlich?
Vorteil für den Proxybetreiber (normalerweise Dein ISP): Weniger teuerer
Traffic zwischen Proxy und Internet.
Vorteil für Dich Schneller, da das Stück Netz zwischen Dir und Proxy der
schnellste Abschnitt ist und evtl. die Daten schon auf dem Proxy vorhanden
sind.
Nachteile: Bei richtiger Konfiguration keine nennenswerten.
Wie gesagt, ohne die Grundlagen zu lernen kannst Du keine Firewall
betreiben, insofern kannst Du einfach alles ignorieren oder die
Firewallfunktionalität gleich ganz ausschalten.
Viele Grüße,
Jens
Michael Andresen
> Hallo,
>
> ich habe von Firewalls wenig Ahnung. Deshalb habe ich mir auch den
> Gatelock-X 200-Router als Hardware-Firewall zugelegt.
Wenn Du von Firewalls keine Ahnung hast, solltest Du Dir keinen kaufen.
Und wenn doch, dann brauchst Du gleichzeitig jemanden, der sich damit
auskennt.
> Gestern meldete mir die Firewall, dass meine IP-Adresse Ziel einer
> DoS-Attacke namens "syn-flood attempt" war und nennt mir zahlreiche
> IP-Adressen (wohl getürkte), unter denen die Angriffe erfolgten.
Das sollte Dir weiterhelfen:
http://www.cert.org/advisories/CA-1996-21.html
> Fragen:
>
> 1) Ignorieren
> Kann man das einfach ignorieren oder was sollte man tun?
Die gewuenschte Folge einer SYN-FLOOD-Attacke ist ein DOS. Das ist ja
offensichtlich nicht passiert.
> 2) Proxy-Server
> Wenn ich über einen Proxy-Server ins Internet gehe, kann ich dann
> solche Attacken vermeiden?
Nein. Es sei denn, Du verwendest zwischen dem Proxy und Deinem Rechner
eine andere Protokollsuite als TCP/IP.
> Welche Vorteile oder Nachteile haben denn Proxy-Server eigentlich?
Ein Proxy ist ein Programm auf einem Rechner, das stellvertretend fuer
Dich die gewuenschten Daten besorgt und sich merkt.
Wenn Du diese daten ein zweites Mal anforderst, ist der Zugriff
schneller, da Du Dir den Zugriff auf den fernen Server sparst.
Ausserdem minimiert ein Proxy die Anzahl der Verbindungen zwischen dem
(oft schlecht konfigurierten und mit viel zu viel Software versehenen)
Arbeitsplatzrechner im internen Netz und dem nicht vertrauenswuerdigen
aeusseren Netz, da ja die dieses Application-layer-protokoll
betreffenden Verbindungen jetzt ueber den Proxy laufen.
Du brauchst fuer jedes Protokoll auf dem application-layer einen eigenen
Proxy, da dieser das gesprochene Protokoll (bspw. http) verstehen muss.
Es gibt uebrigens eine Suchmaschine unter http://www.google.de; da
kannst Du Suchbegriffe eingeben und bekommst die Infos recht schnell und
gut sortiert geliefert.
Viel Erfolg,
//M
Interessante Links fuer Dich koennten sein:
http://www.uni-bayreuth.de/lehre/internet/vorlesung/net.html
http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1180.html
http://people.ee.ethz.ch/~strub/tcp-ip/tcp-ip.html
http://people.ee.ethz.ch/~strub/tcp-ip/tcp-ipbook.ps
http://www.netzmafia.de/skripten/netze/netz8.html
http://www.koehntopp.de/kris/artikel/tcpip-technik/
http://www.lug-sw.de/tcp_ip.html
http://www.oreilly.de/catalog/fire2ger/chapter/
--
Emacs is for people who desperately want to get drunk, but feel guilty
doing so without a reason.
http://www.rru.com/~meo/rants/emacs.html
Thorsten Dahm
> Du brauchst fuer jedes Protokoll auf dem application-layer einen eigenen
> Proxy, da dieser das gesprochene Protokoll (bspw. http) verstehen muss.
Ergänzend gibt es dazu noch zu sagen, daß es je nach Anforderung verdammt
gut ist, einen Proxy zu haben, der nicht nur IP spricht sondern auch die
Protokolle darüber versteht. Denn dann kann man unerwünschte Dinge viel
besser filtern als mit einem reinen Layer3/4 Paketfilter.
Gruß, Thorsten
--
Das Schicksal beschützt Narren, kleine Kinder und Schiffe mit dem Namen
Enterprise
(William T. Riker)
Michael Andresen
> begin Michael Andresen <michaelhor...@telia.com> wrote:
>> Du brauchst fuer jedes Protokoll auf dem application-layer einen eigenen
>> Proxy, da dieser das gesprochene Protokoll (bspw. http) verstehen muss.
>
> Ergänzend gibt es dazu noch zu sagen, daß es je nach Anforderung verdammt
> gut ist, einen Proxy zu haben, der nicht nur IP spricht sondern auch die
> Protokolle darüber versteht. Denn dann kann man unerwünschte Dinge viel
> besser filtern als mit einem reinen Layer3/4 Paketfilter.
Jetzt verwirrst Du mich, Thorsten. Wir sind uns doch einig, dass:
-IP kein Protokol des application-layers
-und ein Paketfilter kein Proxy ist, oder?
BTW: gibt es Proxys, die nur IP sprechen? Ist nicht Proxy==ALG?
//M
Thorsten Dahm
> Jetzt verwirrst Du mich, Thorsten. Wir sind uns doch einig, dass:
> -IP kein Protokol des application-layers
Ja.
> -und ein Paketfilter kein Proxy ist, oder?
Ja.
> BTW: gibt es Proxys, die nur IP sprechen? Ist nicht Proxy==ALG?
Doch.
Tobias Crefeld
> On Sat, 01 Mar 2003 12:04:45 +0100, Walter Large wrote:
>> Welche Vorteile oder Nachteile haben denn Proxy-Server eigentlich?
> Vorteil für den Proxybetreiber (normalerweise Dein ISP): Weniger teuerer
> Traffic zwischen Proxy und Internet.
> Vorteil für Dich Schneller, da das Stück Netz zwischen Dir und Proxy der
> schnellste Abschnitt ist und evtl. die Daten schon auf dem Proxy
> vorhanden sind.
Vermutlich wird er über irgendwas in der Größenordnung von 2 Mbps oder
noch viel weniger verfügen. Ein ISP, der da drunter bliebe, verdient den
Namen nicht. Nur Arme-dumme-Kunden-ISP mit völlig überlasteten Uplinks
verwenden (Zwangs-)Proxy.
Und wenn doch http-Proxy bzw. Webcache, dann wird er ihn in seinem LAN
(gesetzt, daß LAN schneller als WAN-local-loop) und noch vorm Router
betreiben. Wegen ein bißerl Performance und wegen ein bißerl Sicherheit
und wegen ein bißerl content-filter.
Oder er läßt es.
> Nachteile: Bei richtiger Konfiguration keine nennenswerten.
s.o.: bremst.
> Wie gesagt, ohne die Grundlagen zu lernen kannst Du keine Firewall
> betreiben, insofern kannst Du einfach alles ignorieren oder die
> Firewallfunktionalität gleich ganz ausschalten.
Wie war das mit denen im Glashaus...
--
Gruss,
Tobias.
http://www.deutschland-sagt-nein.de/
Jens Liebchen
Hallo Tobias,
> Vermutlich wird er über irgendwas in der Größenordnung von 2 Mbps
> oder noch viel weniger verfügen. Ein ISP, der da drunter bliebe,
> verdient den Namen nicht. Nur Arme-dumme-Kunden-ISP mit völlig
> überlasteten Uplinks verwenden (Zwangs-)Proxy.
Denkfehler von Dir. Auch wenn Du mit 100Mbps ans Internet angebunden bist,
haben, kommen kaum Daten mit dieser Geschwindigkeit bei Dir an und es gibt
(Stichwort congestion control) sogar Datenströme, die dann nur bei Dir
reintröpfeln.
> Und wenn doch http-Proxy bzw. Webcache, dann wird er ihn in seinem LAN
> (gesetzt, daß LAN schneller als WAN-local-loop) und noch vorm Router
> betreiben. Wegen ein bißerl Performance und wegen ein bißerl
> Sicherheit und wegen ein bißerl content-filter.
Klar, für einen Rechner setzt ein Newbie, der nach einem Proxy fragt,
eben diesen http Proxy selbstverständlich als ALG mit Contentfilter bei
sich im LAN ein. Achja, mit Firewalls kennt er sich aber leider nicht aus,
aber ein solcher Proxy...
>> Nachteile: Bei richtiger Konfiguration keine nennenswerten.
> s.o.: bremst.
Ich bin, auf Grund der Ausgangslage, von einem http caching Proxy
ausgegangen, der im Normalfall dann bei dem ISP steht. Was soll daran
bremsen?
>> Wie gesagt, ohne die Grundlagen zu lernen kannst Du keine Firewall
>> betreiben, insofern kannst Du einfach alles ignorieren oder die
>> Firewallfunktionalität gleich ganz ausschalten.
>
> Wie war das mit denen im Glashaus...
Falls das auf mich bezogen war, dann solltest Du das mal begründen, mit
den Ausagen oben geht das nämlich nicht.
Viele Grüße,
jens
Tobias Crefeld
> On Sat, 01 Mar 2003 23:18:00 +0100, Tobias Crefeld wrote:
>> Vermutlich wird er über irgendwas in der Größenordnung von 2 Mbps
>> oder noch viel weniger verfügen. Ein ISP, der da drunter bliebe,
>> verdient den Namen nicht. Nur Arme-dumme-Kunden-ISP mit völlig
>> überlasteten Uplinks verwenden (Zwangs-)Proxy.
> Denkfehler von Dir. Auch wenn Du mit 100Mbps ans Internet angebunden
[..]
Von 100 Mbps war nicht die Rede. Ein Cache bringt am meisten (wenn
überhaupt) vor dem Link geringster Bandbreite, d.h. nicht, daß er direkt
vor diesem Nadelöhr sein muß, auch wenn ISP obengenannter Coleur das aus
verständlichen Gründen gerne hätten.
Abgesehen davon bringen Webcaches (er fragte übrigens nach einem Proxy!)
immer weniger was. Große Files liessen den Cache überlaufen und werden
deswegen ausgenommen und bei der zunehmenden Anzahl von dynamischen
Websites können auch nur noch die Bilderchen gecached werden - was Browser
bereits selber machen. Früher hat man mal große Pläne mit Webcache-
Verbünden zwischen POPs mit parents und neighbours geschmiedet - alles
Schneee von gestern, vergiß es, machen nur noch Schwaben.
>> Und wenn doch http-Proxy bzw. Webcache, dann wird er ihn in seinem LAN
>> (gesetzt, daß LAN schneller als WAN-local-loop) und noch vorm Router
>> betreiben. Wegen ein bißerl Performance und wegen ein bißerl
>> Sicherheit und wegen ein bißerl content-filter.
> Klar, für einen Rechner setzt ein Newbie, der nach einem Proxy fragt,
[..]
Michael hatte dazu einen überaus brauchbaren Rat: Hol Dir jemand, der sich
damit auskennt!
>>> Nachteile: Bei richtiger Konfiguration keine nennenswerten.
>> s.o.: bremst.
> Was soll daran bremsen?
Ein Webcache bei nem cache-miss oder auch ein Proxy sind ein weiteres
Glied in der Kette Client-Server und erzeugen deshalb ein zusätzliches
delay.
>>> Wie gesagt, ohne die Grundlagen zu lernen kannst Du keine Firewall
>>> betreiben, insofern kannst Du einfach alles ignorieren oder die
>>> Firewallfunktionalität gleich ganz ausschalten.
>> Wie war das mit denen im Glashaus...
> Falls das auf mich bezogen war, dann solltest Du das mal begründen, mit
[..]
Nein, es war natürlich nicht auf Dich bezogen, sondern auf die jüngste
Rede unseres Bundespräsidenten zum Zivilschutz... argh.
Jens Liebchen
>> Denkfehler von Dir. Auch wenn Du mit 100Mbps ans Internet angebunden
> [..]
> Von 100 Mbps war nicht die Rede. Ein Cache bringt am meisten (wenn
> überhaupt) vor dem Link geringster Bandbreite, d.h. nicht, daß er direkt
> vor diesem Nadelöhr sein muß, auch wenn ISP obengenannter Coleur das aus
> verständlichen Gründen gerne hätten.
Das war nur ein Beispiel. Es ist völlig egal, ob Du mit 100Mbs oder mit
64kbps angebunden bist, solange auf dem Weg zwischen Dir und dem
angefragtem Server noch ein überlastetes btw. zu gering dimensoniertes
Teilstück existiert. Und dem ist leider im Internet noch ziemlich oft der
Fall. Verallgemeinernt stimmt es überigens nicht, dass ein Webcache am
meisten vor dem Link mit der geringsten Bandbreite bringt, denn hierbei
wird das Userverhalten nicht berücksichtigt.
> Abgesehen davon bringen Webcaches (er fragte übrigens nach einem Proxy!)
> immer weniger was. Große Files liessen den Cache überlaufen und werden
> deswegen ausgenommen und bei der zunehmenden Anzahl von dynamischen
> Websites können auch nur noch die Bilderchen gecached werden - was Browser
> bereits selber machen. Früher hat man mal große Pläne mit Webcache-
> Verbünden zwischen POPs mit parents und neighbours geschmiedet - alles
> Schneee von gestern, vergiß es, machen nur noch Schwaben.
Ich weiss, dass der OP Proxy geschrieben hat und ich denke er meinte damit
nur einen caching (web) proxy. Auf fast allen Seiten gibt es statische
Bilder, die können immer gecached werden. Das bringt etwas und schon bei 2
Usern hat man schnell caching Raten von 20% (aller Dynamik zum trotz).
Wenn Du einmal die Performance misst, wirst Du feststellen, dass sich ein
Proxy beim ISP meistens immer noch lohnt. Ob man noch einen Proxyverbund
braucht, dazu kann ich nichts sagen, dazu habe ich keine Erfahrungswerte.
>>> Und wenn doch http-Proxy bzw. Webcache, dann wird er ihn in seinem LAN
>>> (gesetzt, daß LAN schneller als WAN-local-loop) und noch vorm Router
>>> betreiben. Wegen ein bißerl Performance und wegen ein bißerl
>>> Sicherheit und wegen ein bißerl content-filter.
>
>> Klar, für einen Rechner setzt ein Newbie, der nach einem Proxy fragt,
> [..]
>
> Michael hatte dazu einen überaus brauchbaren Rat: Hol Dir jemand, der sich
> damit auskennt!
Das war aber nicht die Frage des OP. Er hat nicht gefragt, ob er einen
Proxy bei sich aufsetzen lassen soll, sondern ob er einen nutzen soll.
>>>> Nachteile: Bei richtiger Konfiguration keine nennenswerten.
>>> s.o.: bremst.
>> Was soll daran bremsen?
>
> Ein Webcache bei nem cache-miss oder auch ein Proxy sind ein weiteres
> Glied in der Kette Client-Server und erzeugen deshalb ein zusätzliches
> delay.
Dann zähl doch mal die MISSs und HITs und den damit verbundenen
Traffic/Delay und setze das ganze dem Geschwindigkeitsgewinn gegenüber.
Natürlich kommt das wieder sehr auf das Nutzer- und das Cachingverhalten
des Proxys an.
Viele Grüße,
Jens