was tun gegen gespoofte IPs?

Gesperrt
Nachricht
Autor
Benutzeravatar
max
Beiträge: 806
Registriert: 14. Mai 2000 12:55
Wohnort: Ruhrpott

was tun gegen gespoofte IPs?

#1 Beitrag von max » 28. Mai 2000 10:33

Ich wunderte mich das mein Linux-Gateway manchmal Netzwerkmäßig den Bach runterging.
Will sagen er war manchmal abgestürzt usw.
Jetzt habe ich eine kleine Firewall eingerichtet und das Ding quillt gleich über.
Innerhalb weniger Minuten kam folgendes rein:
62.158.45.177:0 L=28 S=0x00 I=47361 F=0x0000 T=112 (#3)
May 28 11:23:55 server kernel: Packet log: input DENY ippp0 PROTO=1 148.233.77.76:8
62.158.45.177:0 L=28 S=0x00 I=26142 F=0x0000 T=106 (#3)
May 28 11:24:03 server kernel: Packet log: input DENY ippp0 PROTO=1 212.216.211.119:8
62.158.45.177:0 L=28 S=0x00 I=4952 F=0x0000 T=108 (#3)
May 28 11:24:14 server kernel: Packet log: input DENY ippp0 PROTO=1 212.183.44.53:8
62.158.45.177:0 L=28 S=0x00 I=6014 F=0x0000 T=117 (#3)
May 28 11:24:22 server kernel: Packet log: input DENY ippp0 PROTO=1 196.30.235.45:8
62.158.45.177:0 L=28 S=0x00 I=6151 F=0x0000 T=104 (#3)
May 28 11:24:24 server kernel: Packet log: input DENY ippp0 PROTO=1 212.153.117.81:8
62.158.45.177:0 L=28 S=0x00 I=40032 F=0x0000 T=99 (#3)
May 28 11:25:02 server kernel: Packet log: input DENY ippp0 PROTO=1 203.116.146.160:8
62.158.45.177:0 L=28 S=0x00 I=21622 F=0x0000 T=9 (#3)
May 28 11:25:13 server kernel: Packet log: input DENY ippp0 PROTO=1 213.20.100.123:8
62.158.45.177:0 L=28 S=0x00 I=1542 F=0x0000 T=117 (#3)
Das ist nur ein Auszug. Im Moment geht das immer noch so weiter.
Anscheinend sind die/der Absender gespooft.
Gibt es irgendeine Möglichkeit die trotzdem zurückzuverfolgen?
Thanx Max

Benutzeravatar
hjb
Pro-Linux
Beiträge: 3245
Registriert: 15. Aug 1999 16:59
Wohnort: Bruchsal
Kontaktdaten:

Re: was tun gegen gespoofte IPs?

#2 Beitrag von hjb » 28. Mai 2000 13:57

Hi,

was wollen die alle auf Port 8? Da liegt meines Wissens nichts. Hast du mal mit netstat nachgeprüft?

Meines Wissens ist es unmöglich, die gespooften Pakete zurückzuverfolgen. Kein Router führt darüber Buch, und in den Paketen selbst ist keine Routing-Information.

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

Benutzeravatar
max
Beiträge: 806
Registriert: 14. Mai 2000 12:55
Wohnort: Ruhrpott

Re: was tun gegen gespoofte IPs?

#3 Beitrag von max » 28. Mai 2000 14:48

Ziel war Port 0, Absendener Port war 8.
Protokoll=1.
Das ist doch ICMP oder?
Wieso allerdings der Senderport 8 war, keine Ahnung.
Hat jemand eine Ahnung welches Tool das gewesen sein könnte??
Thanx für die Antwort.
Gruss Max

Gesperrt