Ungültige Tcp Sequenzen
Enrico Labedzki
ich habe diesen Beitrag gefunden:
http://www.linuxhelp.net/guides/iptables/
und hab ne Frage zu den ungültigen Handshakes hier:
# Drop those nasty packets! These are all TCP flag
# combinations that should never, ever occur in the
# wild. All of these are illegal combinations that
# are used to attack a box in various ways, so we
# just drop them and log them here.
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j badflags
$IPT -A INPUT -p tcp --tcp-flags ALL ALL -j badflags
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j badflags
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j badflags
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j badflags
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j badflags
Wenn ich das Richtig verstanden hab dann sind die Oben angegebenen
Sequenzen ungültig! Gibt´s da nich noch mehr?
Mfg Enrico
Juergen P. Meier
> und hab ne Frage zu den ungï¿œltigen Handshakes hier:
>
> # Drop those nasty packets! These are all TCP flag
> # combinations that should never, ever occur in the
Soweit so richtig.
> # wild. All of these are illegal combinations that
> # are used to attack a box in various ways, so we
Bullshit, FUD. Es gibt keine Schwachstelle in aktuellen TCP/IP
Implementierungen, die man vor sowas schuetzen koennte.
Solche Flag-Kombos werden einzig von Netzwerkscannern wie nmap
verwendet, um aufgrund von Heuristiken ueber das Verhalten des
entfernten Hosts Schluesse ueber den verwendeten TCP/IP Stack ziehen
zu koennen (Stichwort "Host/OS Fingerprinting"). Das ist selbst keine
Attacke.
> # just drop them and log them here.
Schadet zumindest nicht.
> $IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j badflags
> $IPT -A INPUT -p tcp --tcp-flags ALL ALL -j badflags
> $IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j badflags
> $IPT -A INPUT -p tcp --tcp-flags ALL NONE -j badflags
> $IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j badflags
> $IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j badflags
Das enumiert lediglich die Scan-Varianten von "nmap".
> Wenn ich das Richtig verstanden hab dann sind die Oben angegebenen
> Sequenzen ungï¿œltig! Gibt?s da nich noch mehr?
Ja.
Sinnvoller ist es jedoch auf der anderen Seite anzusetzen:
Vollstaendige Enumeration gueltiger Kombinationen: (inkl. ECN)
SYN
SYN ACK
(RFC 3168 zusaetzlich: SYN ECE CWR, SYN ACK CWR)
ACK
ACK PSH
ACK URG
ACK URG PSH (Strenggenommen nicht verboten, auch wenn sinnfrei)
(RFC 3168 zusaetzlich: ECE bzw. CWR zu jeder obigen ACK-kombo.)
FIN
FIN ACK
RST
RST ACK (mind. ein dysfunktoinaler TCP-Stack erzeugt das, in der
Praxis wiederholt gesehen aber nie rausbekommen, was fuer ein kaputtes
Produkt das auf der anderen Seite ist.)
Wenn du eine der obigen Kombinationen droppst, wirst du wahrscheinlich
TCP-Verbindungsprobleme haben. Insbesondere wenn du ECE+SYN blockierst
(durch drop statt reject!) wirst du mit Sicherheit Probleme haben. Es
gibt halt schon den ein oder anderen Host, der versucht ECN zu
sprechen, und wenn auf ein SYN+ECN kein ICMP Protocol Error o.ae.
zurueck kommt, wirst du mit diesem Host erst nach langen Timeouts TCP
reden koennen, wenn er die Empfehlung von RFC 3168 ueberhaupt einhaelt.
Die Liste aller ungueltigen Kombinationen ist deutlich laenger.
Die Flags sind ein 8-bit Feld. Es gibt also 256 moegliche
Kombinationen. Und selbst wenn du nur die Standardflags betrachtest
sind es noch 64 Kombinationen.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Enrico Labedzki
> Enrico Labedzki <e.lab...@gmx.de>:
>> und hab ne Frage zu den ungültigen Handshakes hier:
>>
>> # Drop those nasty packets! These are all TCP flag
>> # combinations that should never, ever occur in the
>
> Soweit so richtig.
>
>> # wild. All of these are illegal combinations that
>> # are used to attack a box in various ways, so we
>
> Bullshit, FUD. Es gibt keine Schwachstelle in aktuellen TCP/IP
> Implementierungen, die man vor sowas schuetzen koennte.
>
> Solche Flag-Kombos werden einzig von Netzwerkscannern wie nmap
> verwendet, um aufgrund von Heuristiken ueber das Verhalten des
> entfernten Hosts Schluesse ueber den verwendeten TCP/IP Stack ziehen
> zu koennen (Stichwort "Host/OS Fingerprinting"). Das ist selbst keine
> Attacke.
>
Danke schonmal für die Antwort, jetzt zu meiner zweiten Frage!
Wie verhindere ich das Scannen meiner Port´s oder ist das aufgrund des
OS Fingerprinting so einfach nicht zu beantworten!?
Mfg Enrico
Detlef
Wo sind da irgendwelche "Sequenzen"?
Detlef
> >> und hab ne Frage zu den ungültigen Handshakes hier:
>
> >> # Drop those nasty packets! These are all TCP flag
> >> # combinations that should never, ever occur in the
>
> > Soweit so richtig.
>
> >> # wild. All of these are illegal combinations that
> >> # are used to attack a box in various ways, so we
>
> > Bullshit, FUD. Es gibt keine Schwachstelle in aktuellen TCP/IP
> > Implementierungen, die man vor sowas schuetzen koennte.
>
> > Solche Flag-Kombos werden einzig von Netzwerkscannern wie nmap
> > verwendet, um aufgrund von Heuristiken ueber das Verhalten des
> > entfernten Hosts Schluesse ueber den verwendeten TCP/IP Stack ziehen
> > zu koennen (Stichwort "Host/OS Fingerprinting"). Das ist selbst keine
> > Attacke.
>
> Danke schonmal für die Antwort, jetzt zu meiner zweiten Frage!
>
> Wie verhindere ich das Scannen meiner Port´s
Indem Du Deinen Rechner vom Internet nimmst. Bzw. Deinen Router. Dann
scannt da niemand mehr was.
Du würdest dann bedauerlicherweise auch nicht mehr posten können - und
das ginge mir in der Tat sehr nahe, aber vermutlich werde ich
drüberwegkommen.
Wenn Du schon keine Handbücher lesen möchtest, was sollen wir Dir hier
noch vorlesen? Möchtest Du vielleicht die BILD-Zeitung von jemandem
als Hörbuch vorgesprochen bekommen?
Enrico Labedzki
>
> Wo sind da irgendwelche "Sequenzen"?
>
Wenn Du heut mit dem Falschen Bein ausgestanden bist dann geht mir das
auch Sehr nahe. Sorry in meinem Jugendlichem Leichtsinn hab ich doch
glatt die "Flags" mit "Sequenzen" verwechselt. Tut mir so Sooorrrryyyy,
ich mach es auch ganz bestimmt nicht wieder.
Mfg Enrico
Detlef
> Detlef schrieb:
>
>
>
> > Wo sind da irgendwelche "Sequenzen"?
>
dann hört sich das anders an.
> dann geht mir das
> auch Sehr nahe. Sorry in meinem Jugendlichem Leichtsinn hab ich doch
> glatt die "Flags" mit "Sequenzen" verwechselt. Tut mir so Sooorrrryyyy,
Ach, Ausreden? Wenn ich etwas bringe, was nach Ausreden klingt, kippen
Deine Mitstreiter hier kübelweise Müll ab.
Weißt Du, auch zu IP Tables gibt es ein Manual. Das mag sogar Fucking
sein. Aber es ist ein The und man kann es Readen.
Also: RTFM.
Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
rumjammern, wenn's nicht geht.
> ich mach es auch ganz bestimmt nicht wieder.
Nein, beim nächsten Mal kippst Du anderen Trollmüll hier ab.
Sind wir hier denn die Zweitwäsche für Leute, die in der
Schnellbleiche nicht weiß geworden sind?
Sorry. Aber ein _bißchen_ was darf man auch noch selber tun.
>
> Mfg Enrico
Enrico Labedzki
>
> Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
> rumjammern, wenn's nicht geht.
>
Die hab ich doch schon lang gelesen und m �brigen bei mir Funktioniert
doch alles. Was ist denn Jetzt dein Problem du Troll!?
Mfg Enrico
Detlef
> Detlef schrieb:
>
>
>
> > Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
> > rumjammern, wenn's nicht geht.
>
> doch alles. Was ist denn Jetzt dein Problem du Troll!?
>
> Mfg Enrico
Wenn es funktionieren würde, würdest Du hier nicht posten.
Und _wer_ ist hier der Troll, Herr Elcaro Nosille, Björn Vian, Dipl.-
Psych. Kai Mertens, Polizistenmörder Michael Berger, Großwildjäger,
Wilderer in die Eier Schießer, Franz-Ferdinand Krallenwetzer, Andreas
Kralle oder wie nennst Du Dich heute gerade mal wieder?
Und hast Du schon bei der Polizei angerufen um mich zu verleumden?
Weswegen denn diesmal?
Wir haben ja schon fast sehnsüchtig darauf gewartet, daß Du hier mal
wieder irgend ein scheinbares Pseudoproblem zusammenphantasierst, um
hier wieder loszutrollen.
Und bei der ersten Antwort von mir, und sei es nur "piep", hängst Du
wieder am Telefon um der Polizei in Stuttgart die tollsten
Schauerlügen über mich zu erzählen.
Verpiss Dich endlich aus meinem Leben und laß mich endlich in Ruhe,
Elcrao Nosille, Björn Vian, Melissa Honsieck, Franz-Ferdinand
Krallenwetzer, Armin Wolf oder wie Du Dich auch immer gerade nennst!
Enrico Labedzki
> On 6 Jun., 13:13, Enrico Labedzki <e.labed...@gmx.de> wrote:
>> Detlef schrieb:
>>
>>
>>
>>> Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
>>> rumjammern, wenn's nicht geht.
>> doch alles. Was ist denn Jetzt dein Problem du Troll!?
>>
>> Mfg Enrico
>
>
> Und _wer_ ist hier der Troll, Herr Elcaro Nosille, Bj�rn Vian, Dipl.-
> Psych. Kai Mertens, Polizistenm�rder Michael Berger, Gro�wildj�ger,
> Wilderer in die Eier Schie�er, Franz-Ferdinand Krallenwetzer, Andreas
> Kralle oder wie nennst Du Dich heute gerade mal wieder?
>
> Und hast Du schon bei der Polizei angerufen um mich zu verleumden?
> Weswegen denn diesmal?
>
> wieder irgend ein scheinbares Pseudoproblem zusammenphantasierst, um
> hier wieder loszutrollen.
>
> wieder am Telefon um der Polizei in Stuttgart die tollsten
>
> Verpiss Dich endlich aus meinem Leben und la� mich endlich in Ruhe,
> Elcrao Nosille, Bj�rn Vian, Melissa Honsieck, Franz-Ferdinand
> Krallenwetzer, Armin Wolf oder wie Du Dich auch immer gerade nennst!
Du bist ja nen ganz netter Spinner!
Ich hab doch nur gefragt was es mit diesen "FLAGS" aufsich hat!? Und
mehr nicht.
Und jetzt lass mich doch in Ruhe, Du solltest vielleicht mal nen Arzt
aufsuchen der k�nnte Dir evtl. Helfen! Oder auch nicht.
Mfg Enrico
Juergen P. Meier
> Danke schonmal fï¿œr die Antwort, jetzt zu meiner zweiten Frage!
> Wie verhindere ich das Scannen meiner Portï¿œs oder ist das aufgrund des
Portscan verhindert man, in dem man seine Kommunikation selbst
sabotiert und eingehende Pakete kommentarlos verwirft.
> OS Fingerprinting so einfach nicht zu beantworten!?
Das eine hat mit dem anderen wenig zu tun.
OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
System gezogen werden koennen. Wenn ueberhaupt.
Detlef
> "Enrico Labedzki" <e.labed...@gmx.de> schrieb im Newsbeitragnews:h0dldo$ql0$1...@online.de...
>
> > Detlef schrieb:
> > Du bist ja nen ganz netter Spinner!
>
>
> Siehe dazuwww.netzterrorist.comoder noch besser,www.detlef-bosau.de
>
> Keiner ist kränker als Bosau!
Ach, auf einmal heißt Du wieder "ap"?
Bis eben hießt Du doch noch Enrico Labezki?
Oder heißt Du in Wirklichkeit Enrico Frank? Und Enrico Labezki ist das
Pseudonym Deiner Pressesprecherin?
Was wollstest Du inhaltlich eigentlich beitragen, ap? Wolltest Du hier
zur Sache vortragen? Oder nur wieder Deine Horrorstories erzählen?
Detlef
> Enrico Labedzki <e.labed...@gmx.de>:
>
> > Danke schonmal für die Antwort, jetzt zu meiner zweiten Frage!
> > Wie verhindere ich das Scannen meiner Port´s oder ist das aufgrund des
>
> Portscan verhindert man, in dem man seine Kommunikation selbst
> sabotiert und eingehende Pakete kommentarlos verwirft.
>
> > OS Fingerprinting so einfach nicht zu beantworten!?
>
> Das eine hat mit dem anderen wenig zu tun.
>
> OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
> verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
> System gezogen werden koennen. Wenn ueberhaupt.
>
Erzähl mal, welche sollen das denn sein?
(Du bist nicht der erste, der mir was von "Parametern" erzählt.....
Und so furchtbar viel "Parameter" bei TCP gibt es nicht. Und für dran
rumzuspielen gibt es noch viel weniger. Aber das werden uns hier ja
die "Fachleute" sicher ganz genau erklären.)
Enrico Labedzki
>
> Bis eben hie�t Du doch noch Enrico Labezki?
>
Heis ich doch noch!?
Detlef
> Detlef schrieb:
>
>
>
> > On 6 Jun., 13:13, Enrico Labedzki <e.labed...@gmx.de> wrote:
> >> Detlef schrieb:
>
> >>> Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
> >>> rumjammern, wenn's nicht geht.
> >> doch alles. Was ist denn Jetzt dein Problem du Troll!?
>
> >> Mfg Enrico
>
>
> > Und _wer_ ist hier der Troll, Herr Elcaro Nosille, Björn Vian, Dipl.-
> > Psych. Kai Mertens, Polizistenmörder Michael Berger, Großwildjäger,
> > Kralle oder wie nennst Du Dich heute gerade mal wieder?
>
> > Und hast Du schon bei der Polizei angerufen um mich zu verleumden?
> > Weswegen denn diesmal?
>
> > wieder irgend ein scheinbares Pseudoproblem zusammenphantasierst, um
> > hier wieder loszutrollen.
>
> > wieder am Telefon um der Polizei in Stuttgart die tollsten
>
> > Elcrao Nosille, Björn Vian, Melissa Honsieck, Franz-Ferdinand
> > Krallenwetzer, Armin Wolf oder wie Du Dich auch immer gerade nennst!
>
> Du bist ja nen ganz netter Spinner!
Ach, jetzt gehen die Beleidigungen schon los?
> Ich hab doch nur gefragt was es mit diesen "FLAGS" aufsich hat!? Und
Du sprachst von Sequenzen.
> mehr nicht.
> Und jetzt lass mich doch in Ruhe, Du solltest vielleicht mal nen Arzt
> aufsuchen der könnte Dir evtl. Helfen! Oder auch nicht.
Willst Du mit Deinen justiziablen Beleidigungen gleich einleiten, daß
Du Dich jetzt in Zukunft wieder "ap" nennst?
Dann überlege Dir mal, wer von uns beiden wen in Ruhe läßt!
Ich kann es nicht ab, hier andauernd angenervt zu werden. Willst Du
nicht mal wieder einen Brief an meine Vermieter schreiben? Oder uns
mal wieder vorerzählen, Dein Chef wäre auf Urlaub und Du wolltest
dessen Ciso-Router auseinandernehmen?
Oder solle ich mich vertun und Du schreibst mal unter Deinem richtigen
Namen? Auf der Parallelgruppe hast Du wochenlang überlegt auf BSD zu
wechseln, Du wolltest zu Unix und kommst von Linux. Bist Du also nicht
Björn Vian sondern der Typ, der ständig Linux verklagen will, weil es
nicht von Bill Gates ist?
Ja, ich habe mal nach Deinem Namen gegooglet. Und nun kannst Du auch
bei der Polizei Stuttgart anrufen, ich hätte Dich "gestalkt" und
Strafanzeige erstatten.
Vielleicht lügst Du Dir noch zusammen, ich hätte Dich mit meinem
Selbstmord bedroht, verklagst mich wegen "Bedrohung" und ich habe hier
zu nachtschlafener Zeit wieder die Polizei vor der Tür.
Wer hier wohl der Spinner ist. Aber ab jetzt nennst Du Dich ja gerade
mal wieder ap.
Warum willst Du eigentlich auf BSD wechseln? Weil M$-SAP (das ist doch
von M$, oder? ;-)) da leichter zu installieren ist?
Meine Güte.
Sorry, wenn ich etwas genervt bin. Aber dieses Theater ist einfach zu
kräftezehrend.
Jetzt sind wir schon wieder bei "TCP Parametern". Und gleich wirst Du
wieder in pseudowissenschaftlichem Tonfall erläutern: "TCP wird
kritisiert, weil es Parameter verliert und man Pakete setzen kann"
oder sowas, und am besten steht das dann noch im Heise-Ticker.
Meine Güte.
Zu meiner Zeit ist man schon mal vom Server geflogen, wenn man zum
Handbuchlesen zu faul war.
Und dann sind Sequenzen Flags und Flags sind Sequenzen.
Für solche Verdreher sind schon Leute aus ihrem Job geflogen. (Ich im
übrigen nicht, ap, auch wenn Du immer gerne anderes zusammenlügst.
Wann verklagst Du mich endlich, daß ich mit meinem bevorstehenden
Rausschmiß Dein Leben ruiniere? Ich kriege hier ja langsam fast schon
Entzugserscheinungen.)
Aber ich vergaß.
Es wird ja sommer. (Und als ein Mann sieht er die Sonne aufgehn.)
Und da haben ja CISCO Router Durchsatzprobleme und da muß man, wenn
der Chef weg ist, mehr Speicher reintun.
Und TCP Parameter muß man verdrehen.
Na, dann zähl mal auf, welche man wie verdrehen soll.
Oder kriegen wir, wie gestern auf dsa, erläutert, wer das überhaupt
könnte und das technische Wissen dazu hätte?
Sorry, wenn ich etwas genervt reagiere. Aber das Theater der letzten
Jahre steckt mir gar zu sehr in den Knochen. Und immer wieder bekomme
ich gesagt, ich solle um Gottes Willen nichts sagen, immer nur
schlucken, schlucken, schlucken.
So langsam kriege ich Schluckbeschwerden. (Nein, ap, ich habe jetzt
nicht nach Details aus dem Bett gefragt.)
Und es ist schon auffallend. Kaum, daß ich was sage, heißt Du wieder
ap und das ganze Theater geht von vorne los.
Wann darf ich denn mit er nächsten Klageschrift rechnen?
Enrico Labedzki
>
> Willst Du mit Deinen justiziablen Beleidigungen gleich einleiten, da�
> Du Dich jetzt in Zukunft wieder "ap" nennst?
>
> Dann �berlege Dir mal, wer von uns beiden wen in Ruhe l��t!
>
> Ich kann es nicht ab, hier andauernd angenervt zu werden. Willst Du
> nicht mal wieder einen Brief an meine Vermieter schreiben? Oder uns
> mal wieder vorerz�hlen, Dein Chef w�re auf Urlaub und Du wolltest
> dessen Ciso-Router auseinandernehmen?
>
> Oder solle ich mich vertun und Du schreibst mal unter Deinem richtigen
> Namen? Auf der Parallelgruppe hast Du wochenlang �berlegt auf BSD zu
> wechseln, Du wolltest zu Unix und kommst von Linux. Bist Du also nicht
> Bj�rn Vian sondern der Typ, der st�ndig Linux verklagen will, weil es
> nicht von Bill Gates ist?
>
> Ja, ich habe mal nach Deinem Namen gegooglet. Und nun kannst Du auch
> bei der Polizei Stuttgart anrufen, ich h�tte Dich "gestalkt" und
> Strafanzeige erstatten.
>
> Vielleicht l�gst Du Dir noch zusammen, ich h�tte Dich mit meinem
> Selbstmord bedroht, verklagst mich wegen "Bedrohung" und ich habe hier
> zu nachtschlafener Zeit wieder die Polizei vor der T�r.
>
> Wer hier wohl der Spinner ist. Aber ab jetzt nennst Du Dich ja gerade
> mal wieder ap.
>
> Warum willst Du eigentlich auf BSD wechseln? Weil M$-SAP (das ist doch
> von M$, oder? ;-)) da leichter zu installieren ist?
>
> Meine G�te.
>
> Sorry, wenn ich etwas genervt bin. Aber dieses Theater ist einfach zu
> kr�ftezehrend.
>
> Jetzt sind wir schon wieder bei "TCP Parametern". Und gleich wirst Du
> wieder in pseudowissenschaftlichem Tonfall erl�utern: "TCP wird
> kritisiert, weil es Parameter verliert und man Pakete setzen kann"
> oder sowas, und am besten steht das dann noch im Heise-Ticker.
>
> Meine G�te.
>
> Zu meiner Zeit ist man schon mal vom Server geflogen, wenn man zum
> Handbuchlesen zu faul war.
>
> Und dann sind Sequenzen Flags und Flags sind Sequenzen.
>
> F�r solche Verdreher sind schon Leute aus ihrem Job geflogen. (Ich im
> �brigen nicht, ap, auch wenn Du immer gerne anderes zusammenl�gst.
> Wann verklagst Du mich endlich, da� ich mit meinem bevorstehenden
> Rausschmi� Dein Leben ruiniere? Ich kriege hier ja langsam fast schon
> Entzugserscheinungen.)
>
>
> Aber ich verga�.
>
> Es wird ja sommer. (Und als ein Mann sieht er die Sonne aufgehn.)
> Und da haben ja CISCO Router Durchsatzprobleme und da mu� man, wenn
> der Chef weg ist, mehr Speicher reintun.
>
> Und TCP Parameter mu� man verdrehen.
>
>
> Na, dann z�hl mal auf, welche man wie verdrehen soll.
>
> Oder kriegen wir, wie gestern auf dsa, erl�utert, wer das �berhaupt
> k�nnte und das technische Wissen dazu h�tte?
>
> Sorry, wenn ich etwas genervt reagiere. Aber das Theater der letzten
> Jahre steckt mir gar zu sehr in den Knochen. Und immer wieder bekomme
> ich gesagt, ich solle um Gottes Willen nichts sagen, immer nur
> schlucken, schlucken, schlucken.
>
> So langsam kriege ich Schluckbeschwerden. (Nein, ap, ich habe jetzt
> nicht nach Details aus dem Bett gefragt.)
>
> Und es ist schon auffallend. Kaum, da� ich was sage, hei�t Du wieder
> ap und das ganze Theater geht von vorne los.
>
> Wann darf ich denn mit er n�chsten Klageschrift rechnen?
Du bist doch anscheinend schwer gest�rt oder!? Mach nur weiter so und Du
wirst gebannt. Nehm ich mal so an!
Marion Ruehl
> Na Bosau, verfolgen sie dich wieder?
>
> Ist dein Haferbrei schon wieder alle, oder war die Milch sauer, oder wieder
> mal Schimmel im Bad?
Hafer_schleim_ und Grieᅵ_brei_ (nicht: Griesbrei) bitte, Andi. Als Organ der
Rechtspflege muss ich auf korrekter Wortwahl bestehen.
Liebe Grᅵᅵe
Marion
Detlef
>
> Du bist doch anscheinend schwer gestört oder!? Mach nur weiter so und Du
> wirst gebannt. Nehm ich mal so an!
Ich bin weder gestört noch werde ich gebannt. Auch wenn Du (oder Deine
alter egos) das gerne hätten.
Können eigentlich Leute, die die Polizei brauchen, da heute noch
anrufen? Oder hat die Andrew
Briefzustellerbeschäftigermitvierbuchstaben Community schon wieder
alle Leitungen blockiert?
Detlef
> "Enrico Labedzki" <e.labed...@gmx.de> schrieb im Newsbeitragnews:h0dpak$tp2$2...@online.de...
>
> > Detlef schrieb:
> > Du bist doch anscheinend schwer gestört oder!? Mach nur weiter so und Du
> > wirst gebannt. Nehm ich mal so an!
>
Ich bin nicht gestört.
Punkt.
Und da ist auch nichts "amtlich anerkannt". Was soll denn "amtlich
anerkannt" sein, Du Spinner?
Das einzige, was hier amtlich anerkannt ist, sind Deine Schulden.
Armin Wolf
weshalb mu�t Du den Namen"Armin Wolf" wieder per Google mit
Deinen psychischen Entgleisungen verkn�pfen und in der Dreck ziehen?
Fakt ist, da� ich seit Wochen versuche Dich zu ignorieren, aber die
neue Unterstellung (letzter Absatz) darf nicht unwidersprochen stehen
bleiben.
Also, antworte auf Postings von AP und Konsorten, aber la� Deine
_ehemaligen_ Peiniger aus dem Spiel, nach dem Motto: Schlafende
Hund weckt man nicht. Mich hast Du soeben geweckt :-(((
CU Wolf
ToFu beabsichtigt:
_________________________
"Detlef" <detlef...@web.de> schrieb im Newsbeitrag
news:9e230cb1-7b20-4bc0...@37g2000yqp.googlegroups.com...
On 6 Jun., 13:13, Enrico Labedzki <e.labed...@gmx.de> wrote:
> Detlef schrieb:
>
>
>
> > Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
> > rumjammern, wenn's nicht geht.
>
> Die hab ich doch schon lang gelesen und m �brigen bei mir Funktioniert
> doch alles. Was ist denn Jetzt dein Problem du Troll!?
>
> Mfg Enrico
Wenn es funktionieren w�rde, w�rdest Du hier nicht posten.
Und _wer_ ist hier der Troll, Herr Elcaro Nosille, Bj�rn Vian, Dipl.-
Psych. Kai Mertens, Polizistenm�rder Michael Berger, Gro�wildj�ger,
Wilderer in die Eier Schie�er, Franz-Ferdinand Krallenwetzer, Andreas
Kralle oder wie nennst Du Dich heute gerade mal wieder?
Und hast Du schon bei der Polizei angerufen um mich zu verleumden?
Weswegen denn diesmal?
Wir haben ja schon fast sehns�chtig darauf gewartet, da� Du hier mal
wieder irgend ein scheinbares Pseudoproblem zusammenphantasierst, um
hier wieder loszutrollen.
Und bei der ersten Antwort von mir, und sei es nur "piep", h�ngst Du
wieder am Telefon um der Polizei in Stuttgart die tollsten
Schauerl�gen �ber mich zu erz�hlen.
Verpiss Dich endlich aus meinem Leben und la� mich endlich in Ruhe,
Elcrao Nosille, Bj�rn Vian, Melissa Honsieck, Franz-Ferdinand
Armin Wolf
weshalb mu�t Du den Namen"Armin Wolf" wieder per Google mit
Deinen psychischen Entgleisungen verkn�pfen und in der Dreck ziehen?
Fakt ist, da� ich seit Wochen versuche Dich zu ignorieren, aber die
neue Unterstellung (letzter Absatz) darf nicht unwidersprochen stehen
bleiben.
Also, antworte auf Postings von AP und Konsorten, aber la� Deine
_ehemaligen_ Peiniger aus dem Spiel, nach dem Motto: Schlafende
Hund weckt man nicht. Mich hast Du soeben geweckt :-(((
CU Wolf
ToFu beabsichtigt:
_________________________
"Detlef" <detlef...@web.de> schrieb im Newsbeitrag
news:9e230cb1-7b20-4bc0...@37g2000yqp.googlegroups.com...
On 6 Jun., 13:13, Enrico Labedzki <e.labed...@gmx.de> wrote:
> Detlef schrieb:
>
>
>
> > Und nicht nach zwei Zeilen das erste Beispiel abtippen und dann hier
> > rumjammern, wenn's nicht geht.
>
> Die hab ich doch schon lang gelesen und m �brigen bei mir Funktioniert
> doch alles. Was ist denn Jetzt dein Problem du Troll!?
>
> Mfg Enrico
Wenn es funktionieren w�rde, w�rdest Du hier nicht posten.
Und _wer_ ist hier der Troll, Herr Elcaro Nosille, Bj�rn Vian, Dipl.-
Psych. Kai Mertens, Polizistenm�rder Michael Berger, Gro�wildj�ger,
Wilderer in die Eier Schie�er, Franz-Ferdinand Krallenwetzer, Andreas
Kralle oder wie nennst Du Dich heute gerade mal wieder?
Und hast Du schon bei der Polizei angerufen um mich zu verleumden?
Weswegen denn diesmal?
Wir haben ja schon fast sehns�chtig darauf gewartet, da� Du hier mal
wieder irgend ein scheinbares Pseudoproblem zusammenphantasierst, um
hier wieder loszutrollen.
Und bei der ersten Antwort von mir, und sei es nur "piep", h�ngst Du
wieder am Telefon um der Polizei in Stuttgart die tollsten
Schauerl�gen �ber mich zu erz�hlen.
Verpiss Dich endlich aus meinem Leben und la� mich endlich in Ruhe,
Elcrao Nosille, Bj�rn Vian, Melissa Honsieck, Franz-Ferdinand
Detlef
> Hallo Detlef,
>
> weshalb mußt Du den Namen"Armin Wolf" wieder per Google mit
> Deinen psychischen Entgleisungen verknüpfen und in der Dreck ziehen?
>
> Fakt ist, daß ich seit Wochen versuche Dich zu ignorieren, aber die
Nein, das tust Du nicht.
Punkt.
Du bist ein psychisch schwerstgestörtes Subjekt (dafür kannst Du mich
jetzt verklagen, aber das wirst Du nicht tun, Du müsstest Deinen Namen
offenbaren..), das niemanden ignorieren _kann_.
Bei mir schaffst Du das mittlerweile seit einigen Jahren nicht.
Du schaffst es bei niemandem.
Nur jetzt suchst Du Dir gerade die Leute raus, die bei ap Abschußliste
stehen und meinst, in ap's Windschatten segeln zu können.
Du bist ein ganz armseliger Wicht, den niemand mehr ernst nimmt. Und
bei dem nun wirklich _jeder_ gemerkt haben dürfte, wer hinter "Armin
Wolf" steckt.
Hier in der Gruppe hast Du noch _NIE_, kein einziges Mal, zur Sache
vorgetragen.
Du hast bisher nur die Gruppe beschmutzt.
Es geht Dir nur darum, mir nachzustellen. Und darum geht es Dir seit
einigen Jahren. Auch wenn Du immer ankommst, wem es _noch_ darum gehe.
Das ist aber nicht Dein Punkt.
Dein Punkt ist, daß _DU_ mir nachstellst. Und daß Du das auch schon
(erweislich wahr) im realen Leben getan hast.
Und jetzt kannst Du mich gerne verklagen - Du würdest als Antwort auf
die Klageschrift (wie Du schriflich weißt) eine massive Rechnung und
darüber hinaus eine gepfefferte Widerklage bekommen.
_Ich_ rede gerade mit einer mir unbekannten Person, die sich Armin
Wolf nennt.
_Ich_ antworte gerade einem Armin Wolf und sage hier nichts zu einer
oder über eine reale Person.
Klingelt's langsam?
Und dein F'up kannst Du mal vergessen.
Du hast mich in der tcp ip Gruppe angefrozzelt, Du hast nichts zur
Sache beigetragen, also werde ich Dich auch in der tcp ip Gruppe auf
Deinen Schrott festnageln.
Trage hier zur Sache vor und vertrete Deine Thesen.
Und wir werden dann ja sehen, wie weit Du mit Deinem Gesülze kommst.
Hubert Petrowicz
> On 6 Jun., 14:11, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>
> > OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
> > verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
> > System gezogen werden koennen. Wenn ueberhaupt.
>
> Erzï¿œhl mal, welche sollen das denn sein?
Unter anderem initial sequence numbers, IP IDs, TCP timestamps, sowie
Reaktion auf verschiedene Kombinationen von Flags.
Gerade von dir hᅵtte ich eigentlich erwartet, daᅵ du den Hersteller eines
Stacks anhand seines ersten TCP-Pakets nennen kannst.
HTH: http://nmap.org/book/osdetect-methods.html
> (Du bist nicht der erste, der mir was von "Parametern" erzï¿œhlt.....
Du hast leider wieder den Tellerrand deiner Nomenklatur erreicht.
Der Begriff Parameter wurde hier in einer breiteren Bedeutung verwendet und
bezieht sich auf die Eigenschaften des Gesamtsystems.
Was nï¿œtzt schon ein reicher Wortschatz wenn er falsch angewendet wird.
Enrico Labedzki
>
> Unter anderem initial sequence numbers, IP IDs, TCP timestamps, sowie
> Reaktion auf verschiedene Kombinationen von Flags.
>
> HTH: http://nmap.org/book/osdetect-methods.html
>
Danke das hat geholfen, Enrico
Juergen P. Meier
> On 6 Jun., 14:11, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>> Enrico Labedzki <e.labed...@gmx.de>:
>>
>> > Wie verhindere ich das Scannen meiner Portï¿œs oder ist das aufgrund des
>>
>> Portscan verhindert man, in dem man seine Kommunikation selbst
>> sabotiert und eingehende Pakete kommentarlos verwirft.
>>
>> > OS Fingerprinting so einfach nicht zu beantworten!?
>>
>> Das eine hat mit dem anderen wenig zu tun.
>>
>> OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
>> verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
>> System gezogen werden koennen. Wenn ueberhaupt.
>>
>
Bei Linux ist das sehr einfach nmap mit sysctl in die Irre zu fuehren:
net.ipv4.tcp_ecn=0
net.ipv4.ip_default_ttl=140
net.ipv4.tcp_timestamps=0
Wer noch weiter gehen will und TCP Verhalten veraendern will, kann
auch noch SACK abschalten, dann kommt niemand mehr drauf, dass da ein
Linux-Kern laeuft. (net.ipv4.tcp_sack=0)
Auch PMTUD abschalten verwirrt namp ein wenig, hat aber auch Folgen:
net.ipv4.ip_no_pmtu_disc=1
Fuer mehr Camouflage muss man die Quellen vom Kernel anfassen
z.B. in /usr/src/linux/net/ipv4/icmp.c:
nach der Zeile in der Funktion icmp_echo():
icmp_param.data.icmph.type = ICMP_ECHOREPLY;
noch eine Zeile einfuegen, und zwar:
icmp_param.data.icmph.code = 0;
sonst "verraet" sich Linux durch ICMP Echo antwort auf Echo requests
mit code != 0 in dem es den Code des Echo-Requests kopiert.
Eigentlich gehoert das als Bugfix in jeden Linux-Kernel, aber dann
funktioniert nmap ja nicht mehr !!!1elf
(Linux nimmt den ECHO Request-Header und schreibt dort lediglch den
type und die Checksumme um, daher kopiert es einfach den gesetzten
aber ansonsten ignorierten Code bei ICMP paketen vom Typ 8).
u.v.m.
Sind das genug "Parameter" zum Schrauben und Drehen?
Enrico Labedzki
>
> Sind das genug "Parameter" zum Schrauben und Drehen?
>
Ja, bin Glï¿œcklich. ;-)
Mfg Enrico
Detlef
> Detlef <detlef.bo...@web.de> wrote:
> > On 6 Jun., 14:11, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>
> > > OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
> > > verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
> > > System gezogen werden koennen. Wenn ueberhaupt.
>
>
> Unter anderem initial sequence numbers, IP IDs, TCP timestamps, sowie
> Reaktion auf verschiedene Kombinationen von Flags.
initial sequence numbers sind keine Parameter, aus denen Du
Rückschlüsse ziehen kannst.
Punkt.
> Gerade von dir hätte ich eigentlich erwartet, daß du den Hersteller eines
> Stacks anhand seines ersten TCP-Pakets nennen kannst.
Was hast Du zu erwarten? Wer bist Du überhaupt, Armin Wolf?
>
> HTH:http://nmap.org/book/osdetect-methods.html
>
> > (Du bist nicht der erste, der mir was von "Parametern" erzählt.....
>
> Du hast leider wieder den Tellerrand deiner Nomenklatur erreicht.
Ja, Armin Wolf.
> Der Begriff Parameter wurde hier in einer breiteren Bedeutung verwendet und
> bezieht sich auf die Eigenschaften des Gesamtsystems.
Hör auf, hier pseudowissenschaftlich rumzuspinnen.
Kümmere Dich um Deine Bremer Stadtmusikanten, die langweilen sich ohne
Dich.
>
> Was nützt schon ein reicher Wortschatz wenn er falsch angewendet wird.
Ach? Du hast Deinen Wortschatz falsch angewendet?
Halt doch endlich die Klappe und laß mich in Ruhe, Armin Wolf, Björn
Vian, Elcaro Nosille oder wie immer Du Dich nennst.
Detlef
Dir ist nicht mehr zu helfen, Armin Wolf.
Detlef
> Detlef <detlef.bo...@web.de>:
>
>
>
> > On 6 Jun., 14:11, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
> >> Enrico Labedzki <e.labed...@gmx.de>:
>
> >> > Wie verhindere ich das Scannen meiner Port´s oder ist das aufgrund des
>
> >> Portscan verhindert man, in dem man seine Kommunikation selbst
> >> sabotiert und eingehende Pakete kommentarlos verwirft.
>
> >> > OS Fingerprinting so einfach nicht zu beantworten!?
>
> >> Das eine hat mit dem anderen wenig zu tun.
>
> >> OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
> >> verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
> >> System gezogen werden koennen. Wenn ueberhaupt.
>
Detlef
> Detlef <detlef.bo...@web.de>:
Jürgen,
Du weißt genauso gut wie ich, daß ich die einschlägige Primärliteratur
ausgesprochen gut kenne.
Es kotzt mich an, wenn hier irgendwelche Wannabes wie "Armin Wolf" aus
Bremen oder "Hubert Petrowitz", der mit dem allein wohnenenden Armin
Wolf die Sozialfallbutze teilt, pseudowissenschaftlich angemacht
werde.
Wenn Du solche Leute ernst nimmst, riskierst Du, daß Du nicht mehr
ernst genommen wirst.
Du solltest mal Deinen Trollfilter justieren.
>
> Bei Linux ist das sehr einfach nmap mit sysctl in die Irre zu fuehren:
>
> net.ipv4.tcp_ecn=0
> net.ipv4.ip_default_ttl=140
> net.ipv4.tcp_timestamps=0
Du meinst, nur weil Linux drei oder vier experimentelle Parameter
anbietet, kann man da OSe mit identifzieren?
Jürgen, ich sagte es schon.
Ich _kenne_ die Primärliteratur. Und ich kenne sie sehr, sehr gut.
Und Du mußt Dir mal überlegen, ob Du mit mir oder wem auch immer auf
normalem Niveau über TCP reden möchtest, das ist mein Anliegen, oder
ob Du hier anfangen willst, Trolle und Dilletanten ernst zu nehmen.
Profis reden mit Profis.
Und ich kenne es als ungeschriebenes Gesetz, daß man da gewisse
Grenzen nicht überschreitet.
Danke für die Aufmerksamkeit.
(Und nun laß die Bastelparameter weg. Wenn Du kommerzielle IP Stacks
nicht von Spiel- und Fummelkram unterscheiden kannst, ist das
ärgerlich.)
Juergen Ilse
Detlef <detlef...@web.de> wrote:
> On 7 Jun., 07:03, Hubert Petrowicz <nob...@nymu.eu> wrote:
>> Detlef <detlef.bo...@web.de> wrote:
>> > On 6 Jun., 14:11, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>> > > OS Fingerprinting verhinder man, indem die TCP/IP Parameter so
>> > > verdreht, dass keine sicheren Rueckschluesse mehr auf das verwendete
>> > > System gezogen werden koennen. Wenn ueberhaupt.
>> > Erzähl mal, welche sollen das denn sein?
>> Unter anderem initial sequence numbers, IP IDs, TCP timestamps, sowie
>> Reaktion auf verschiedene Kombinationen von Flags.
> initial sequence numbers sind keine Parameter, aus denen Du
> Rückschlüsse ziehen kannst.
> Punkt.
Doch, sind sie. Wenn ein System einen so kaputten IP-Stack hat, dass die
initial sequence-Number trivial zu erraten sind (weil einfah nur linear
hochgezaehlt oder dergleichen), dann kann man daraus durchaus Rueckschluesse
auf das Sstem ziehen (denn nur wenige Systeme duerften so kaputt sein, IIRC
war Win95 eines davon). Aehnliches gilt fuer di anderen angegebenen Werte.
Aktuelle Versionen von nmap koennen aus solchn Eigenschaften des IP-Stacks
bei einer Reihe von Systemen mit relativ hoeher Wahrscheinlichkeit die Art
des jeweiligen Systems folgern. Diese Art von "fingerprinting" des IP-Stacks
funktioniert bei einer ganzen Reihe von Systemen erstaunlich gut. Teils
kann man bei manchen Systemen einige Eigenschaften des IP-Stacks so umkon-
figurieren, dass viele Tools bei dieser Art des "fingerprinting" mit hoher
Wqahrscheinlichkeit daneben liegen ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Armin Wolf
Danke f�r Deinen ung�ltigen Beitrag zu Tcp Sequenzen.
Versuche einfach einmal mit realen Menschen Kontakt aufzu-
nehmen, und zeige einer Person Deines Vertrauens Deine
Postings.
�berlege: Auch Schweigen ist eine Art der Kommunikation
Fullquote f�rs Archiv und f�r diverse Filter
_________________
"Detlef" <detlef...@web.de> schrieb im Newsbeitrag
news:26d067b2-ad0f-4b46...@h11g2000yqb.googlegroups.com...
On 6 Jun., 21:17, "Armin Wolf" <AW...@Lavabit.com> wrote:
> Hallo Detlef,
>
> weshalb mu�t Du den Namen"Armin Wolf" wieder per Google mit
> Deinen psychischen Entgleisungen verkn�pfen und in der Dreck ziehen?
>
> Fakt ist, da� ich seit Wochen versuche Dich zu ignorieren, aber die
Nein, das tust Du nicht.
Punkt.
Du bist ein psychisch schwerstgest�rtes Subjekt (daf�r kannst Du mich
jetzt verklagen, aber das wirst Du nicht tun, Du m�sstest Deinen Namen
offenbaren..), das niemanden ignorieren _kann_.
Bei mir schaffst Du das mittlerweile seit einigen Jahren nicht.
Du schaffst es bei niemandem.
Nur jetzt suchst Du Dir gerade die Leute raus, die bei ap Abschu�liste
stehen und meinst, in ap's Windschatten segeln zu k�nnen.
Du bist ein ganz armseliger Wicht, den niemand mehr ernst nimmt. Und
bei dem nun wirklich _jeder_ gemerkt haben d�rfte, wer hinter "Armin
Wolf" steckt.
Hier in der Gruppe hast Du noch _NIE_, kein einziges Mal, zur Sache
vorgetragen.
Du hast bisher nur die Gruppe beschmutzt.
Es geht Dir nur darum, mir nachzustellen. Und darum geht es Dir seit
einigen Jahren. Auch wenn Du immer ankommst, wem es _noch_ darum gehe.
Das ist aber nicht Dein Punkt.
Dein Punkt ist, da� _DU_ mir nachstellst. Und da� Du das auch schon
(erweislich wahr) im realen Leben getan hast.
Und jetzt kannst Du mich gerne verklagen - Du w�rdest als Antwort auf
die Klageschrift (wie Du schriflich wei�t) eine massive Rechnung und
dar�ber hinaus eine gepfefferte Widerklage bekommen.
_Ich_ rede gerade mit einer mir unbekannten Person, die sich Armin
Wolf nennt.
_Ich_ antworte gerade einem Armin Wolf und sage hier nichts zu einer
oder �ber eine reale Person.
Klingelt's langsam?
Und dein F'up kannst Du mal vergessen.
Du hast mich in der tcp ip Gruppe angefrozzelt, Du hast nichts zur
Sache beigetragen, also werde ich Dich auch in der tcp ip Gruppe auf
Deinen Schrott festnageln.
Trage hier zur Sache vor und vertrete Deine Thesen.
Und wir werden dann ja sehen, wie weit Du mit Deinem Ges�lze kommst.