Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

ICMP-Ping

TheTwister / 58 Antworten / Baumansicht Nickles

Hallo zusammen.

Habe heute mal einen Security-Check bei Symantek durchgeführt und dabei ist mir aufgefallen das der Port für den ICMP-Ping offen ist.
Dort stand dann noch:
Port:ICMP-Ping
Beschreibung: Ping ist ein Dienstprogramm für die Problembehebung bei Netzwerken, das Ihren Computer um Bestätigung seiner Existenz bittet. Wenn Ihr Computer seine Existenz bestätigt, können mehr Hacker Zugriff erhalten. Status: Offen
Ist dies schlimm und wie kann ich dieses Problem beheben?
Meine Norton-Firewall habe ich schon lange wieder runtergeschmissen und hab nur die von XP am laufen.

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
-IRON- TheTwister „ICMP-Ping“
Optionen

ICMP arbeitet nicht auf Portbasis.
Wenn der PC antwortet, kann ein potenzieller Angreifer nur erfahren, dass der PC da ist.
Um das zu erfahren, braucht er aber nicht einmal ICMP. Es gibt noch ein paar andere Möglichkeiten.
Wenn der PC nicht antwortet, kann der potenzieller Angreifer dennoch einen "Angriff" planen oder was auch immer er vorhat.
Blocken bestimmter ICMP-Typen (von denen es ne ganze Menge gibt) kann zwar verhindern, dass der potenzielle Angreifer allzuviele nützliche Informationen bekommt, aber diese sind eh nur recht allgemeiner Natur (Netzwerk-Range, lokale Uhrzeit, eventuell Betriebssystem).
Leider wird dieses Blocken von ICMP gerne zwecks Effekthascherei von diversen Sicherheitsseiten und Softwareherstellern als Argument herangezogen, die darauf bauen, dass der beeindruckte Neuling nicht weiter nachforscht. Man glaubt den Quatsch, denkt, dass ICMP böse sei und ist froh, eine tolle Desktopfirewall zu besitzen, die das ja alles blockt und meldet.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Tyrfing TheTwister „ICMP-Ping“
Optionen

ICMP= Internet control message protokol
ICMP Typ 0/8 ist der berühmte Ping, damit wird geprüft ob an einer bestimmten Adresse ein Computer ist und wie lange die Übermittlung der Antwort braucht.
Daran ist prinzipiell nichts gefährliches , denn die Existenz deines PCs kann man auch über diverse andere Methoden feststellen und nur dadurch, dass dein PC antwortet, kann noch kein Angriff irgendeiner Art auf deinen PC stattfinden, dafür musst du erst ein Programm aktiv haben, dass den Angriff "annimmt", insofern ist die Auskunft "Wenn Ihr Computer seine Existenz bestätigt, können mehr Hacker Zugriff erhalten." nur Panikmache.

bei Antwort benachrichtigen
TheTwister Nachtrag zu: „ICMP-Ping“
Optionen

Danke IRON für die schnelle Antwort.

Hab ja damals meine Norton-Firewall runtergeschmissen da sie meine Internetverbindungen ausgebremst hat.(die ist ja auch ein Resourcenfresser)
Hab ja auch mein System durch abschalten dieverser Dienste "relativ sicher" gemacht.(abschalten von NetBios über TCP/IP usw.)
Hab auch im Hintergrund immer einen Virenscanner(mit aktuellem Update) laufen und benutze Aktiv-Ports , Ad-Aware und diverse Trojanerkiller(zb.TheCleaner).

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
TheTwister Nachtrag zu: „ICMP-Ping“
Optionen

Also diesen Weisheitlichen Kommentar hättest du dir sparen können.

Brauchst hier nicht unnötigen Traffic verschwenden.

Ein bischen Ahnung hab ich ja auch und weis wie es hier manchmal so zugeht.
Einige hier geben immer so überflüssige Kommentare ab das sie selber darin ersaufen würden.

Heb dir dein Repertoir an missglückten Aussagen für OT auf.

Und außerdem: Wer ZoneAlarm vertraut gehört verhaut!!!

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
Teletom TheTwister „ICMP-Ping“
Optionen

Hi,

es zeugt jedoch nicht von Weisheit, wenn Du davon ausgehst, dass der Eingang von Internet-Pings in jedem Fall prinzipiell nichts gefährliches ist.

Ein erfolgreicher Ping kann die Grundlage für einen Hackerangriff sein und deshalb ist es im Internet besser, "Zeitüberschreitung der Anforderung" beim Ping-Sender erscheinen zu lassen.

Die Firmen oder Einrichtungen, die Spam-Nachrichten mit Hilfe des Nachrichtendiensts auf den Monitor anbringen wollen, verwenden als ersten Schritt einen Ping um festzustellen, dass eine Internet-IP-Nummer online ist.

Im Internet gibt es keinen Grund, dass ein fremder Ping-Sender, eine erfolgreiche Antwort bekommt. Stichwort - Esel: der funktioniert genauso gut auch mit der ICMP-Einstellung.
Stichwort andere Programme: ein Ping würde im Internet natürlicherweise unter Umständen sehr lange dauern und deshalb ist es sehr unwahrscheinlich, dass der Ping als Grundlage des Funktionierens dieser Programme im Internet notwendig ist.

Praktische Erfahrungen besagen, dass nach einer "Zeitüberschreitung der Anforderung" - Ausschrift beim Ping-Sender weitere Schritte wie Portscans usw. mit Sicherheit unterbleiben.

Gruß
Teletom

bei Antwort benachrichtigen
-IRON- Teletom „Hi, es zeugt jedoch nicht von Weisheit, wenn Du davon ausgehst, dass der Eingang...“
Optionen
Im Internet gibt es keinen Grund, dass ein fremder Ping-Sender, eine erfolgreiche Antwort bekommt.

The
purpose of these control messages is to provide feedback about
problems in the communication environment, not to make IP reliable.
There are still no guarantees that a datagram will be delivered or a
control message will be returned. Some datagrams may still be
undelivered without any report of their loss. The higher level
protocols that use IP must implement their own reliability procedures
if reliable communication is required.

The ICMP messages typically report errors in the processing of
datagrams. To avoid the infinite regress of messages about messages
etc., no ICMP messages are sent about ICMP messages. Also ICMP
messages are only sent about errors in handling fragment zero of
fragemented datagrams. (Fragment zero has the fragment offeset equal
zero).

ein Ping würde im Internet natürlicherweise unter Umständen sehr lange dauern und deshalb ist es sehr unwahrscheinlich, dass der Ping als Grundlage des Funktionierens dieser Programme im Internet notwendig ist.

Lies einfach mal RFC 792, bevor du so einen Quatsch erzählst.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom -IRON- „Im Internet gibt es keinen Grund, dass ein fremder Ping-Sender, eine...“
Optionen

Also noch einmal:
ICMP beim Firewalldienst so einstellen, dass "Zeitüberschreitung der Anforderung" beim ICMP-Sender im Internet erscheint, danach kann ich z.B. Nachrichten mit Hilfe des Nachrichtendiensts übertragen, ohne Spam-Nachichten auf dem Monitor zu erhalten.

Fakten, Baby, Fakten und keine Zitate.
Gelesen habe ich genug!

Gruß
Teletom

bei Antwort benachrichtigen
Plazebo Teletom „Also noch einmal: ICMP beim Firewalldienst so einstellen, dass...“
Optionen

Ich glaube langsam, dass du diese Gehirnwäsche absichtlich betreibst.

bei Antwort benachrichtigen
Klaus_T Teletom „Also noch einmal: ICMP beim Firewalldienst so einstellen, dass...“
Optionen

Du missachtest Standards, nur um den Scheiss Nachrichtendienst laufen zu haben? Das ist nicht zu fassen.
Klaus

bei Antwort benachrichtigen
Olaf19 Klaus_T „Du missachtest Standards, nur um den Scheiss Nachrichtendienst laufen zu haben?...“
Optionen

Doch Klaus, das ist zu fassen.

Der ach so unentbehrliche Nachrichtendienst ist Teletoms Lieblings-Spielzeug. Was wäre Windows ohne den ND...

@Teletom: Sorry, dass ich das hier durch den Kakao ziehe - aber genau so kommt das rüber, was Du hier in den letzten Wochen zu dem Thema gepostet hast. Mag ja sein, dass der ND für Dein Anwendungsgebiet tatsächlich von Nutzen ist. Aber das Gros der Anwender braucht ihn nicht!

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom Olaf19 „@Klaus... und auch @Teletom“
Optionen

Lieber Olaf19,

es geht nicht um den Nachrichtendienst, wie mir das einige Leute locker mal unterstellen, es geht um Onboard-Firewalldienste und da in erster Linie um die ICMP-Ping-Einstellungen. Es ist schon richtig, den Nachrichtendienst erwähne ich in diesem Zusammenhang häufig, aber nur aus dem Grunde, weil an diesem Beispiel der ICMP-Wirkungsmechanismus durch Fakten aus der Praxis nachweisbar ist.

Was ich für den Nachrichtendienst-Spam dargestellt habe, gilt auch für andere Angriffe.

Bitte unbedingt das Dargestellte gründlicher durchlesen, dann kann man solche Unterstellungen vermeiden.

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „@Klaus... und auch @Teletom“
Optionen

Nein. Dein Nachrichtendienst ist eben ein Dienst, der etwas macht. Wenn kein Diesnt angeboten wird, kann man auch nichts missbrauchen, nicht mit ICMP und nicht mit tcp/ip. Das einzige, was angreifbar ist, ist der IP-Stack, aber nur, wenn er einen Bug hat. Und dagegen hilft weder das abstellen von ICMP noch eine Firewall.
Bye, Klaus

bei Antwort benachrichtigen
Olaf19 Teletom „@Klaus... und auch @Teletom“
Optionen

Nein Teletom,

ich habe es nicht nötig, mit Unterstellungen zu arbeiten, da es mir möglich ist, sinnentnehmend zu lesen. Und gerade ich weil ich Deine Beiträge gründlich gelesen habe, ist mir aufgefallen, dass von Dir immer wieder sinngemäß(!) Äußerungen kommen in der Art wie

Warum soll ich den Nachrichtendienst deaktivieren, den kann man doch sehr gut gebrauchen

=> Mag für Dich zutreffen - für viele andere nicht.

Man muss die Ursachen bekämpfen und nicht an den Symptomen herumdoktern - wer den
Nachrichtendienst deaktiviert, bekommt weiterhin Spam-Nachrichten, er sieht sie nur nicht mehr

=> Was ist denn bei einer Firewall anders? Eine Firewall verhindert doch auch nicht, dass jemand versucht, mir Nachrichten zu schicken. Auch Angriffe auf mein System kann sie allenfalls abwehren, nicht aber verhindern, dass Leute einen Angriff auf mein System versuchen.

Warum soll ich mir die große Mühe machen, den Nachrichtendienst zu deaktivieren,
wenn ich mir doch stattdessen eine Firewall einrichten kann?

Was soll daran so mühselig sein, mal eben einen Dienst wegzuklicken? Soll es wirklich einfacher sein, sich stattdessen eine zusätzliche Software zu installieren und zu konfigurieren?

Ich mag nicht herumtheoretisieren, ich bin für praktische Lösungen mit denen ich emotionslos arbeiten kann

=> Was ist an den Ratschlägen der anderen denn so theorielastig?

Ich mag keine Dienste deaktivieren, weil ich bei Microsoft nie genau weiß, welcher Dienst auf welchem anderen aufbaut. Microsoft hat dies nicht offen gelegt, denn Microsoft ist ja nicht Open Source

=> Das hat mit Open Source überhaupt nichts zu tun. Open Source bedeutet Offenlegung des Quellcodes. Das ist in diesem Fall aber doch gar nicht nötig. Es muss doch irgendwo bei Microsoft dokumentiert sein, welcher Dienst auf welchem anderen aufbaut, z.B. in den Büchern für MCSEs & Co. Wie sollten diese Leute sonst ihre Jobs verrichten...

Der Warnhinweis Falls dieser Dienst deaktiviert wird, können andere Dienste, die von ihm abhängig sind, nicht mehr gestartet werden gehört für mich in die Schublade "Zu riesigen Nebenwirkungen fragen Sie Ihren Arsch oder Apotheker". Damit sichert sich Microsoft nur ab. Es gibt aber genug Leute, die das Deaktivieren des Nachrichtendienstes (u.v.a.!) in der Praxis ausprobiert haben, und es hat gut funktioniert. Warum also darüber theoretisieren, dass das möglicherweise zu Probleme führen soll?

All das sind Gegenüberlegungen, für die noch nicht einmal allzu tief schürfende Fachkenntnisse in IT-Sicherheit erforderlich sind. Das hat nur etwas mit reiner Logik zu tun. Deine Überlegungen empfinde ich in einigen Punkten schlicht als unlogisch.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Plazebo Olaf19 „@Klaus... und auch @Teletom“
Optionen

Teletom geht anscheinend von folgenden aus:

Ein Spammer ping dich erst einmal an, um zu gucken, ob du online bist. Wenn er einen Pong erhalt, schickt er dir Spam. Wenn nicht, dann passiert gar nichts. Wenn die Firewall aktiviert ist, bekommt der Spammer natürlich keine Antwort und schickt nach Teletoms Theorie auch keinen Spam an dich.

Wenn diese Annahme richtig wäre, dann würde es stimmen, dass man bei aktivierter Firewall keinen Spam (mit Spam meine ich in diesem Fall immer den Nachrichtendienst) erhält.

Tja, aber dem ist wahrscheinlich nicht so. Warum sollte denn ein Spammer erstmal tausende von IPs überprüfen? Der schickt einfach ein paar tausend Meldungen auf die Reise und damit hat sich die Sache erledigt. Ob ein paar von diesen Meldungen nicht ankommen, ist für den Spammer ziemlich unrelevant.
Welcher Vorteil hätte es denn, wenn der Spammer erstmal die IPs überprüft?? Gar keinen, oder? Er bekommt die Meldungen nicht zurück oder sowas, sie landen irgendwo im Nirvana.


Ob die Spammer nicht erst die Existenz eines Rechners anhand eines Pings überprüfen, wurde hier auch schon ausführlicher diskutiert.

bei Antwort benachrichtigen
Olaf19 Plazebo „@Klaus... und auch @Teletom“
Optionen

Klingt ganz einleuchtend, was Du sagst. Nur mal zum Vergleich:

Es gibt ja auch Leute, die Spam-eMails nach der "Brute Force"-Methode verschicken. Da wird pro Mail aus einer langen Liste von Vornamen einer ausgesucht, ebenso ein Nachname, dann werden beide zusammen gesetzt - mit oder ohne Punkt/Bindestrich/Underline in der Mitte - und @t-online.de, @gmx.de, @web.de, @aol.com usf. verschickt.

Dass viele Mails als unzustellbar zurückkommen, tut ja nicht weh. Ist auf jeden Fall weniger Aufwand, als erst einmal nach existierenden Adressen zu recherchieren. Das wird in vielen Fällen zwar auch gemacht, aber nur dann, wenn es sehr auf Adressqualität ankommt.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Klaus_T Teletom „Hi, es zeugt jedoch nicht von Weisheit, wenn Du davon ausgehst, dass der Eingang...“
Optionen

Also, dass kann ich nicht stehen lassen. Es stimmt einfach nicht. Lese bitte hier nach. Der Mann weiss uebrigens wovon er redet. Gebe einfach "Lutz Donnerhacke" bei google ein, dann siehst du seine Kompetenz. Folgende ICMP-Typen sollten Eingangs- und Ausgangs-Seitig freigegeben sein:
0,3,4,8,11 und 12.
Bye, Klaus

bei Antwort benachrichtigen
Teletom Klaus_T „Also, dass kann ich nicht stehen lassen. Es stimmt einfach nicht. Lese bitte...“
Optionen

Hi,

kann leider nicht Deine Meinung teilen.
>Eingangs- und Ausgangs-Seitig freigegeben sein:
0,3,4,8,11 und 12.
Das ist im Sinne der Fehlerausschrift "Zeitüberschreitung der Anforderung" beim IP-Sender im Internet garantiert falsch.

Sieh mal bei meinen vorherigen Postings nach, da stehen die richtigen Einstellungen. Darüber hinaus reicht es, die Standardeinstellungen beim XP-Firewalldienst einzustellen, um diese Ausschrift zu erzielen.

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „Hi, kann leider nicht Deine Meinung teilen. Eingangs- und Ausgangs-Seitig...“
Optionen

Was soll das heissen:
>Zeitüberschreitung der Anforderung
Meinst du damit einen Timeout? Darauf zu warten ist schlecht. Warum sollte man darauf warten, wenn es doch sofort weitergehen kann. Ich habe die obigen Typen nicht einfach so genannt, sondern weil die wirklich wichtig sind.
Du willst es nicht verstehen, du willst noch nicht einmal das RFC zu ICMP lesen. Dann wuerdest du vielleicht verstehen.
Egal, ich werfe das Handtuch. Es gibt andere Sachen, wo die Leute nicht lernresistent sind. Nichts fuer ungut.
Bye, Klaus

bei Antwort benachrichtigen
Teletom Klaus_T „Was soll das heissen: Zeitüberschreitung der Anforderung Meinst du damit einen...“
Optionen

Hallo Klaus_T,

ist es nicht so, dass Du Dich sehr mit Linux beschäftigst?

Ich bin etwas enttäuscht, dass Du gleich das Handtuch wirfst. Mich würde ein Mitstreiten mehr gefallen.

Die obige Adresse habe ich kontrolliert, doch leider nichts über "Zeitüberschreitung der Anforderung" gefunden.

Diese Fehlerausschrift erscheint genau dann beim Ping-Sender, wenn entweder die IP-Nr. nicht online ist oder wenn mit Hilfe einer Firewall die ICMP-Einstellungen, häufig als Stealth Modus bezeichnet, vorgenommen wurden.

Mit Sicherheit ist eine Onboard-Firewall gerechtfertigt (das kannst Du mir auch bei Linux bestätigen). ICMP-Einstellungen schützen vor Angriffen z.B. auch DoS-Attacken und nicht nur, dass keine Spam-Nachrichten-Fenster erscheinen.

Ich hätte da zu Linux eine Frage:
Wenn Du z.B. LinPopUp bei einem Linux-Direktinternet-Zugangs-Rechner ohne Firewall verwendest, bekommst Du dann auch Spam-Nachrichten-Fenster?
http://www.linux-magazin.de/Artikel/ausgabe/1998/10/News/news.html#a5

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „Hallo Klaus_T, ist es nicht so, dass Du Dich sehr mit Linux beschäftigst? Ich...“
Optionen

Zeitueberschreitung der Anforderung ist ein Timeout, also wenn keine Antwort von dem Rechner kommt, wenn man die Pakete verwirft anstatt rejectet. Und mann sollte die Pakete nicht verwerfen, das bremst dein System aus.
Und nein, wenn die IP nicht online ist, bekommst du keinen Timeout, sondern der letzte Router meldet dir, das der rechner nicht erreichbar ist. So sollte es normalerweise sein, ist es aber nicht, weil es eben viele Admins, auch bei grossen Providern gibt, die ICMP blockieren. Siehe z.B. GMX, die kannst du nicht anpingen.
Aber in einem 'sauberen' Internet ware es so, dass der letzte Router sich meldet, wenn eine IP nicht online ist und wenn sie online ist, muesste sich der Rechner mit dieser IP melden. Tut er das nicht, weiss ein Angreifer, dass dort gefiltert wird. Also, es klappt nicht mit dem verstecken.
Und nein, auch unter Linux funktionieren die 'Firewall' nicht, die auf dem gleichen Rechner laufen. Ein Paketfilter auf einem Rechner kann nur ein Netzwerk schuetzen, dass dahinter liegt, niemals den eigenen Rechner. Ich habe hier zu Hause 7 Rechner, alle vernetzt und brauche keine Firewall. Der IP-Stack meines Routers verhaelt sich Regelkonform, beantworte alle Anfragen, so wie es sein soll, und macht das besser als ein Paketfilter. Und wenn ich Dienste haette, die ich nach draussen anbieten wuerde, wuerde ich mir eine DMZ bauen und dort die Dienste anbieten, um geschuetzt zu sein. Alles andere ist Flickwerk.
Zu LinPopUp kann ich dir nichts sagen, da ich hier keine Windows-Rechner habe, sondern nur Linux und Sokaris und wenn ich meiner Frau oder meinen Kindern eine Nachricht schicke, mache ich das ueber 'wall'.
Bye, Klaus

bei Antwort benachrichtigen
Teletom Klaus_T „Zeitueberschreitung der Anforderung ist ein Timeout, also wenn keine Antwort von...“
Optionen

>Zeitueberschreitung der Anforderung ist ein Timeout, also wenn keine Antwort von dem Rechner kommt, wenn man die Pakete verwirft anstatt rejectet. Und mann sollte die Pakete nicht verwerfen, das bremst dein System aus.
Und nein, wenn die IP nicht online ist, bekommst du keinen Timeout, sondern der letzte Router meldet dir, das der rechner nicht erreichbar ist. So sollte es normalerweise sein, ist es aber nicht, weil es eben viele Admins, auch bei grossen Providern gibt, die ICMP blockieren.
Das stimmt so nicht gib einfach auf eine gültige nichtexistierende IP einen Ping:
Z.B. wenn 125.254.254.254 nicht existiert.
ping 125.254.254.254

Ping wird ausgefhrt fr 125.254.254.254 mit 32 Bytes Daten:



Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 125.254.254.254:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „ Zeitueberschreitung der Anforderung ist ein Timeout, also wenn keine Antwort...“
Optionen

Diese Ip gibt es ja auch nicht. Wenn ein Router nichts ueber eine IP weiss, was soll er machen? Es geht um existierende IP's, also z.B. der IP-Pool von t-online. Der Router weiss, wo er Anfragen hinschicken soll. Ist die IP nicht genutzt, sendet der Router das zu dir zurueck.
Ein anderes Beispiel: Du kennst das Problem mit der mtu? Gehe ich mal von aus.
Du schickst ein Datenpaket los, irgendwann auf der Strecke zum Ziel-Rechner wird die Leitung zu 'duenn', das Paket passt so nicht mehr durch. In dem Paket ist das DF-Bit gesetzt, das Paket darf also nicht fragmentiert werden. Der Rechner, dem das passiert, generiert daraufhin eine ICMP-Message 'Destination unreachable: Fragmentation needed, but DF set'. Die kommt zu dir zueruck und du (dein Rechner) weiss nun, dass es so nicht geht. Werden jetzt aber ICMP-Pakete verworfen, klappt das natuerlich nicht. Also musst du die mtu herabsetzten, damit die Pakete ueberall durchpassen. Das ist ein kruder Hack, nur weil es so dumme Admins gib, die meinen, ICMP zu sperren.
ICMP ist *nicht* gefaehrlich, weil es kein Angriff ist.
Klaus

bei Antwort benachrichtigen
TheTwister Klaus_T „Diese Ip gibt es ja auch nicht. Wenn ein Router nichts ueber eine IP weiss, was...“
Optionen

@ Klaus

Was ist denn dann aber mit einem ICMP-Nuke Angriff? Der ist doch gefärlich.

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
-IRON- TheTwister „@ Klaus Was ist denn dann aber mit einem ICMP-Nuke Angriff? Der ist doch...“
Optionen

Mit Nuke meinst du sicher ICMP-Flooding. Sicher ist es insofern "gefährlich", dass es einen Rechner dermaßen beschäftigen kann, dass er irgendwann überlastet ist. Nur besteht da ja das Schöne daran, dass es überhaupt keine Rolle spielt, ob der Rechner dank einer Desktop-bzw. "OnBoard"-Firewall diese Pakete nun verwirft, beantwortet oder ignoriert. Sie kommen auf jeden Fall ersteinmal an. Keine Desktopfirewall kann das verhindern.

Doch wer wäre denn ein lohnendes Ziel? Privat-PCs nicht. Es kann natürlich vorkommen, dass ein dummes Script-Kiddie sowas probiert, nur hat es wenig davon. Lohnendere Ziele sind Webserver, durch deren Zusammenbruch nennenswerter Schaden angerichtet werden kann. Und gerade diese Webserver benutzen eben keine Desktopfirewalls sondern professionelle Lösungen, bei denen die vorderste Verteidigungslinie ein Rechner ist, auf dem nichts anderes als Paketfilter oder IDS läuft. Wenn der zusammenbricht, nimmt man halt nen anderen. Ein solcher Angriff ist also schlimmstenfalls lästig.

Schönes Zitat zum Thema:

Du kriegst die Leitung trotzdem dicht. Wenn man dir 20000 Ziegelsteine pro Stunde zum Fenster reinwirft, ist dein Luftraum irgendwann voll, egal ob du die Steine isst, zurückwirfst oder dem Fenster den Rücken zudrehst und rufst: "Ich bin nicht da." [Chris H. zu ICMP-Floods in dcsf]

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom -IRON- „Mit Nuke meinst du sicher ICMP-Flooding. Sicher ist es insofern gefährlich ,...“
Optionen

Mal eine andere Frage:
Kommen die Pakete auch ohne Onboard-Firewall "auf jeden Fall ersteinmal an"?

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „Mal eine andere Frage: Kommen die Pakete auch ohne Onboard-Firewall auf jeden...“
Optionen

Ja, klar. Die Firewall arbeitet ja auf einem hoeheren Layer als der Stack. Der Stack nimmt die an und gibt die weiter. Wenn die Firewall die in die Finger bekommt, verwirft sie die oder beantwortet die. Rein kommen sie auf jeden Fall. Geanu deshalb kann die Firewall den Rechner nicht schuetzen, sondern nur das Netz dahinter.
Klaus

bei Antwort benachrichtigen
xafford Klaus_T „Diese Ip gibt es ja auch nicht. Wenn ein Router nichts ueber eine IP weiss, was...“
Optionen

klaus_t, ich sage soetwas zwar ungern, aber gib es einfach auf. manche leute wollen nicht einmal einer RFC glauben.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Klaus_T xafford „klaus_t, ich sage soetwas zwar ungern, aber gib es einfach auf. manche leute...“
Optionen

Ja, habe ich ja schon geschrieben, das ich es wieder sein lasse. Der Thread hier hat sich sowieso tot gelaufen, ist somit wohl erlediegt. Es gibt jetzt und hier keine Uebereinkunft und es wird sie auch in Zukunft nicht geben. Das ist mir alles zu Muehsam. Ich moechte 'Spass am Geraet' haben und nicht mich rumfetzen.
Wenn ich geahnt haette, dass es so einen Ausmass annimmt, haette ich es von vornherein sein lassen.
Werde mich wieder auf das Linux-Brett zurueck ziehen.
Bye, Klaus

bei Antwort benachrichtigen
xafford Klaus_T „Ja, habe ich ja schon geschrieben, das ich es wieder sein lasse. Der Thread hier...“
Optionen

ich glaube nicht, daß es gut ist sich vertreiben zu lassen von so etwas. seine meinung bzw sein wissen sollte man durchaus immer posten dürfen, wäre ja schlimm, wenn nur noch halbwahrheiten auf den boards laden würden.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Klaus_T xafford „ich glaube nicht, daß es gut ist sich vertreiben zu lassen von so etwas. seine...“
Optionen

Was glaubst du, wem man im Endeffekt glaubt? Dem, der sagt, dass Desktop-PF's scheisse sind oder dem, der alles in den Himmel lobt? Man will nicht die Wahrheit, sondern das hoeren, an das man selbst glaubt. Selbstbestaetigung, dann kann man sich auf die Schulter klopfen. Nur die Sicherheit bleibt auf der Strecke. Deshalb kaempft man hier gegen Windmuehlen, und dafuer ist mir meine Zeit zu schade. IRON, garftermy, Tyrfing und andere haben noch nicht aufgegeben. Das reicht doch.
Bye, Klaus

bei Antwort benachrichtigen
xafford Klaus_T „Was glaubst du, wem man im Endeffekt glaubt? Dem, der sagt, dass Desktop-PF s...“
Optionen

naja, es geht ja nicht um eine wertung. ob die dinger nu mist sind oder nicht will ich nicht beurteilen und kann man meiner meinung nach auch nicht, da schutz immer relativ zur gefährdung ist. ich denke es ist aber wichtig, daß leute wie du, die wissen wovon sie reden, wenn es um internetprotokolle geht, die schon einmal eine RFC gelesen und verstanden haben und die (wie ich vermute) auch schon große netze betreut haben etwas für den ruf von nickles tun und korrekte angaben posten. wer daraus welche schlüsse zieht kann man nie beeinflussen, soetwas klappt ja nicht einmal unter fachleuten auf entwicklertreffen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Tyrfing Teletom „Hi, es zeugt jedoch nicht von Weisheit, wenn Du davon ausgehst, dass der Eingang...“
Optionen

Wo wir gerade mal wieder beim Thema (was für den OT eigentlich kein Thema sein dürfte, wenn man sein System vernünftig konfiguriert hat kann irgendein Scriptkiddie oder ND-Spammer so viel Pingen wie man will und kann nichts machen):
Ich habe gestern Abend mal die Umkehrprobe gemacht, Nachrichtendiesnt an und Ethereal mitlaufen lassen.
Innerhalb von 20 Minuten vor der Nachricht gab es keinen einzigen Ping, um genau zu sein gab es im gesamten Log (ca. 50 Min) exakt 3 IMCP-Vorgänge: zwei Mal "destination unrechable" und ein Ping, von der Absenderadresse des Pings gab es vorher Zugriffe auf die Ports um 2350 (Battlecom).

PS: nimm es einfach zur Kenntnis, ich habe keine Lust auf die nächste endlose Diskussion dazu.

bei Antwort benachrichtigen
Teletom Tyrfing „Wo wir gerade mal wieder beim Thema was für den OT eigentlich kein Thema sein...“
Optionen

Äh...und warum bekommt doch gleich keine Spam-Nachrichten-Fenster mehr angezeigt, wenn ich "Zeitüberschreitung der Anforderung" einstelle?

> nimm es einfach zur Kenntnis, ich habe keine Lust auf die nächste endlose Diskussion dazu.

das glaube ich Dir leider nicht, sonst würdest Du das obige Posting nicht geschrieben haben.

Gruß
Teletom

bei Antwort benachrichtigen
TheTwister Nachtrag zu: „ICMP-Ping“
Optionen

Ich weis jetzt immernoch nicht ob es ratsam ist den Ping zu blockieren oder ihn zuzulassen.
Und wie kann ich meine Firewall von XP so einstellen das der Ping blockiert("Zeitüberschreitung der Anforderung") wird fals es wirklich notwendig ist.

Hätte ich noch die Norton-FW drauf wüsste ich ja wie ich das mache aber die bremmst mein System aus.

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
Teletom TheTwister „Ich weis jetzt immernoch nicht ob es ratsam ist den Ping zu blockieren oder ihn...“
Optionen

Hi,

die Fehlerausschrift "Zeitüberschreitung der Anforderung" erreichst Du nur durch eine Kombination von ICMP-Einstellungen.

Beim XP-Firewalldienst einfach Standardeinstellungen bei ICMP einstellen. Kannst Du leicht nachprüfen.

Internetverbindung herstellen.
In der MS-Dos-Eingabeaufforderung
ipconfig /all Enter
ausführen
Internet-Ip-Nummer aufschreiben oder merken.
ping <Internet-Ip-Nummer> Enter
ausführen.

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T TheTwister „Ich weis jetzt immernoch nicht ob es ratsam ist den Ping zu blockieren oder ihn...“
Optionen

Schau mal, wenn du dich mit einem FTP-Server verbindest, um eine Datei runterzuladen, machen viele Server eine Anfrage an deinen Rechner, und zwar eine ident-Anfrage an Port 113. Wenn du den Ping jetzt gesperrt hast, wartet der FTP-Server auf einen Timeout und faengt dann erst an mit der Datenuebertragung. Kommt jetzt allerdings eine Antwort von deinem Rechner, geht es sofort los.
Die Firewall von XP solltest du nicht nutzen, das empfiehlt sogar Microsoft. Schau hier.
Klaus

bei Antwort benachrichtigen
Teletom Klaus_T „Schau mal, wenn du dich mit einem FTP-Server verbindest, um eine Datei...“
Optionen

Schau selber mal,
wenn ich ICMP so einstelle, dass "Zeitüberschreitung der Anforderung" beim Ping-Sender im Internet erscheint, bekomme ich keine Spam-Nachrichten-Fenster und kann weiterhin den Nachrichtendienst nach meinen Anforderungen verwenden.

Microsoft empfiehlt nicht nur das sondern auch anderes. Seit wann ist alles was Microsoft empfiehlt immer richtig?

Microsoft favorisiert aus gutem Grund den MSN-Messenger.
Die Empfehlung, die MS bezüglich des Nachrichtendiensts gegeben hat, bezieht sich wohl nicht auf MS-Empfehlungen, den Nachrichtendienst für Systemereignisnachrichten zu verwenden.

Gruß
Teletom

bei Antwort benachrichtigen
Plazebo TheTwister „Ich weis jetzt immernoch nicht ob es ratsam ist den Ping zu blockieren oder ihn...“
Optionen

Erst kommt eine Frage.
Dann wird diese Frage beantwortet und alles ist in Ordnung.
Darauf kommt Teletom.
Am Ende ist herrscht allgemeine Verunsicherung beim Fragesteller, was jetzt eigentlich Sache ist.

Aber mach dir nichts draus, so geht's mir und anderen auch.

bei Antwort benachrichtigen
Teletom Plazebo „Erst kommt eine Frage. Dann wird diese Frage beantwortet und alles ist in...“
Optionen

Lieber Plazebo,

bitte keine Unterstellungen. Offensichtlich ist es so, dass der Firwalldienst eine Berechtigung hat. Ob man das will oder nicht, das ist ein Fakt.

Gruß
Teletom

bei Antwort benachrichtigen
Olaf19 Teletom „Lieber Plazebo, bitte keine Unterstellungen. Offensichtlich ist es so, dass der...“
Optionen

Hi Teletom!

> Offensichtlich ist es so, dass der Firwalldienst eine Berechtigung hat.
> Ob man das will oder nicht, das ist ein Fakt.

Schon merkwürdig: Von den Gegnern der Desktop-Firewalls wird immer erwartet, dass sie Beweise für ihre Behauptungen bringen, andernfalls mögen sie doch bitte den Mund halten. War hier in letzter Zeit des öfteren zu lesen.

Für die Befürworter dieser Techniken reicht's anscheinend zu sagen: "Das ist so weil es so ist, ob's Euch passt oder nicht".

Dann kann ich auch dagegenhalten: Ich habe mich mein ganzes Leben lang einen feuchten Kehricht um das Thema Sicherheit gekümmert. Ich habe noch nie eine Firewall, einen Virenscanner, einen 0190-Warner oder was sonst noch so kreucht und fleucht benutzt. Und ich hatte noch nie irgendwelche Sicherheitsprobleme:

- unter Atari-TOS (1987 - 1993 => auch damals gab es schon Viren!) nicht,
- unter MacOS (1993 - 2002) sowieso nicht
- unter Windows (seit 2002) ebenfalls nicht

Und das sind Fakten, nichts als Fakten!

Jedoch: Ist das wirklich eine seriöse Argumentation gegen Sicherheitssoftware? Ich meine nicht...

Nachdenkliche Grüße.
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Tyrfing Teletom „Lieber Plazebo, bitte keine Unterstellungen. Offensichtlich ist es so, dass der...“
Optionen

Das sind keine Unterstellungen, es ist wirklich so: sobalb es im entferntesten um irgendein Sicherheit-Thema geht, erzählst du den Leuten sofort einen vom Ping abschalten, weil ein Ping Angreifer anlocken könne.

bei Antwort benachrichtigen
Teletom Tyrfing „Das sind keine Unterstellungen, es ist wirklich so: sobalb es im entferntesten...“
Optionen

hier geht es doch um den Ping-ICMP, nicht wahr?

Gruß
Teletom

bei Antwort benachrichtigen
Tyrfing Teletom „hier geht es doch um den Ping-ICMP, nicht wahr? Gruß Teletom“
Optionen

Es ging um die Frage, ob ICMP-Ping etwas gefährliches ist und die Antwort darauf lautet leider nein.
Selbst wenn es so wäre, das Pings irgendwelche Portscans oder Nachrichtendienstnachrichten (OMG, was für ein Wort) anziehen (was ich auch nach mehrmaligem Test nicht bestätigen kann, vor einem Portscan oder einer ND-Nachricht gab es bei mir innerhalb von ca. 20-30 min bis auf einmal nie einen Ping):
1.) Ein Portscan oder eine ND-Nachricht ist nicht im geringsten gefährlich, solange man kein Programm aktiv hat, dass darauf anspringt
2.) Wegen einer einzigen eventuellen Missbrauchsmöglichkeit gleich ein komplettes, sehr sinnvolles, Tool sperren, mit allen Problemen, die damit verbunden sind?

PS: Auserdem bist du es doch eigentlich immer, der sich mit Händen und Füßen gegen das deaktiviern von Diensten wehrt, selbst wenn diese Dienste mehrere, zweifelsfrei bewiesene Sicherheitslücken haben, für den Normalverbraucher sinnlos sind und selbst bei sachgemäßer Anwendung Probleme bereiten (QOS-Planer zwackt Netzwerkbandbreite für die Verwaltung ab, ND bringt Grafikprogramme und Spiele zum Absturz...) und jetzt soll man wegen einer Möglichkeit einen sinnvollen Vorgang unterbinden?.


@Garf: Entschuldige bitte vielmals, dass es zu einem Thema manchmal unterschiedliche Meinungen gibt...

bei Antwort benachrichtigen
Teletom Tyrfing „Es ging um die Frage, ob ICMP-Ping etwas gefährliches ist und die Antwort...“
Optionen

Komisch bei mir kommen immer Pings, was hast Du für ein System?

bei Antwort benachrichtigen
TheTwister Nachtrag zu: „ICMP-Ping“
Optionen

Also ich werde mal verschiedene Möglichkeiten ausprobieren.
Vieleicht zieh ich ja meine Norton-FW wieder drauf.
Da kommen zwar öfters mal vermeintlichche "Hackerangriffe" aber das das nur harmlose Portscans sind weis ich ja mittlerweile.

Als ich sie damals zum ersten mal installiert habe und diese Meldung bekam das jemand versucht auf meinen Rechner zuzugreifen bin ich ehrlichgesagt mächtig ins schwitzen gekomen.
Aber später wurden sie dann nur noch weggeklickt bzw. die Meldungen abgeschaltet.

Man lernt immer wieder dazu.

trotzdem danke für die vielen Antworten.

MfG Twister

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
TheTwister Nachtrag zu: „ICMP-Ping“
Optionen

Au man da hab ich ja ne schöne Diskussion angefangen.

Ich hatte eigentlich auch noch nie Sicherheitsprobleme nur hat mich diese Meldung von Symantec stutzig gemacht und da wollte ich halt mal nachfragen was es damit aufsich hat.

Das es hier dann gleich einen Fläschenbrand gibt konnte ich nicht vorraussehen.
Aber hätte ich mir eigentlich denken können das es so kommt.

Ich habe jetzt mehrere Möglichkeiten:

1. XP-Firewall benutzen
2. Norton wieder aufspielen und damit leben das ich mit angezogener Handbremse im Netz bin.
3. Ich kauf mir einen Router mit HardwareFirewall
oder
4. Ich nehm einen einfachen Rechner und richte ihn als Firewall ein(quasi zwischen meinem Hauptrechner und dem I-Net)

Mal sehen was ich mache
Und ich möchte jetzt aber keine weitere Diskussion über meinen 4Punkte-Plan
vom Stapel reißen.

In diesem Sinne noch einen schönen Sonntag.

Twister

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
Plazebo TheTwister „Au man da hab ich ja ne schöne Diskussion angefangen. Ich hatte eigentlich auch...“
Optionen

Tja, jetzt sind wir so weit, dass der Vorschlag von Klaus_T und Tyrfing schon ganz vom Tisch gefallen sind. Im ganzen Sicherheitswahn hast du vergessen, dass es auch ohne Firewall geht, ja sogar eine Firewall mehr als unnütz ist, wenn man keine Ahnung davon hat.

Oder stehen diese Möglichkeiten aufgrund der ganzen Verunsicherung hier gar nicht mehr zur Diskussion?

bei Antwort benachrichtigen
Teletom TheTwister „Au man da hab ich ja ne schöne Diskussion angefangen. Ich hatte eigentlich auch...“
Optionen

Hi,

sorry, war gestern dienstlich unterwegs und kann erst jetzt antworten. Abends mußte ich den Rasen mähen und das dauert 2,5 Stunden, obwohl ich schon Fläche für den Swimmimg Pool ausgehoben habe, die für das Rasenmähen entfällt. Anschließend bin ich mit meinem Hund spazieren gegangen, das mache ich um den Horizont zu erweitern. Unterwegs habe ich meine Partnerin per Handy angerufen. Jaja, Ihr habt richtig gehört, um meiner Partnerin Nachrichten zu zusenden, nehme ich mein Handy und betätige die Kurzwahltaste Nummer 1. Der Abend endete bei einem Glas Rotwein und Kerzenschein. Ich hatte einfach keine Lust mehr an einen meiner zwei privaten PCs zu gehen. Das sind übrigens normale PCs mit W98, ME und Windows XP sowie einiger Experimentierpartitionen für andere Systeme.

Ich finde die Diskussion hier gar nicht mal so schlecht.

Dass man GMX nicht anpingen kann, bestätigt meine Praxiserfahrungen.
Bei GMX gibt es umsichtige Admins, die genau wie ich alle Gesichtspunkte berücksichtigen und RFCs lesen und bei ihrer Arbeit verwenden können.

Besonders interessant, vor allem weil sie sehr sachlich Fakten dargestellt haben, finde ich die Beiträge von -IRON- und Tyrfing, sie seien gegrüßt. Ich bin zwar nicht, zumindest im ICMP-Firewall-Einstellungsbereich, der Meinung der genannten Mitstreiter, damit kann man aber leben.

Ich habe es in diesem Thread schon einmal gesagt:
Schade wäre es, wenn Klaus_T "alles zu Muehsam" ist, seine wichtigen Beiträge hier anzubringen. Die mtu-DF-Belehrung finde ich äußerst wichtig. Meine empfohlenen ICMP-Firewall-Einstellungen beinhalten jedoch, dass "desitination unreachable" weiterhin empfangen oder generiert werden kann. Dadurch wird der Wirkungsmechanismus der mtu-Anpassung nicht gestört.

Für alle gilt: Bitte lest die Postings etwas genauer durch, dann würden solche und andere Missverständnisse nicht so leicht passieren.

Was ich noch sagen wollte:
Es zeugt nicht von Weisheit, wenn man davon ausgehst, dass der Eingang von Internet-Pings in jedem Fall prinzipiell nichts gefährliches ist.

Ein erfolgreicher Ping kann die Grundlage für einen Hackerangriff sein und deshalb ist es im Internet besser, "Zeitüberschreitung der Anforderung" beim Ping-Sender erscheinen zu lassen.

"Zeitüberschreitung der Anforderung" ist ungleich "destination unreachable", ist doch ganz klar und das hab ich schon mehrfach gesagt (Stimmt's Tyrfing?).

Also "Zeitüberschreitung der Anforderung" als Fehlerausschrift beim Sender im Internet auf einen Ping aufgrund der ICMP-Firewall-Empfänger-Einstellungen erscheinen zu lassen, das ist eine Sicherheitsmaßnahme.

Am einfachsten geht das z.B. mit der XP-Firewall (ob das das Beste ist, ist offen):
Bei XP:
Netzwerkeigenschaften für DFÜ-Verbindung bzw. Breitband > Erweitert >Haken im oberen Abschnitt bei Firewall setzen.

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „Hi, sorry, war gestern dienstlich unterwegs und kann erst jetzt antworten....“
Optionen

>Bei GMX gibt es umsichtige Admins, die genau wie ich alle Gesichtspunkte berücksichtigen und RFCs lesen und bei ihrer Arbeit verwenden können.
Die Admins bei GMX sind allesamt Volltrottel, wenn sie ICMP sperren. Verstehe es doch endlich: ICMP ist wichtig fuer ein Reibungsloses Internet und das Sperren erhoeht nicht die Sicherheit. Was willst du als naechstes machen? TCP/IP ganz sperren, weil auch das gefaehrlich ist? Ich wollte ja eigentlich nicht mehr schreiben, aber mir geht einfach der Hut hoch, wenn ich das lese.
Aber egal, wir werden wohl nicht uebereinkommen, denke ich mal. Um auf deine Frage oben zu antworten:
Ja, mit Linux kannst du auch ICMP sperren. Bei Kernel 2.2.X mit ipchains und bei Kernel 2.4.X mit iptables:
/sbin/iptables -A INPUT -i ppp0 -p icmp -j DENY
Sperrt alles, was auf ppp0 reinkommt. Mit der Option --icmp-type kannst du einen Typ angeben:
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type 0 -j ACCEPT
Das sperrt nur Typ 0.
Klaus

bei Antwort benachrichtigen
Teletom Klaus_T „ Bei GMX gibt es umsichtige Admins, die genau wie ich alle Gesichtspunkte...“
Optionen

Ein Volltrottel ist ein Mensch, der andere als Volltrottel bezeichnet.

Und noch einmal extra für Dich:
Durch meine Einstellungen wird kein ICMP gesperrt, es entsteht nur die Fehlermeldung "Zeitüberschreitung der Anforderung" beim Ping-Sender. Deshalb kann ICMP für das "reibungslose Internet" verwendet werden.

Ich weiß nicht was Du für ein Mensch bist, aber jeder weiß, wenn ich eine versehentliche Beleidigung anbringe, entschuldige ich mich dafür.

Gruß
Teletom

bei Antwort benachrichtigen
Klaus_T Teletom „Ein Volltrottel ist ein Mensch, der andere als Volltrottel bezeichnet. Und noch...“
Optionen

Ich habe niemanden beleidigt, sonder nur Tatsachen ausgesprochen. Und was ich fuer ein Mensch bin? Ich kann mich nicht selbst beurteilen, also musst du dir selbst ein Bild von mir machen.
Zu meiner Beleidigung: Wer das Internet vorsaetzlich und mit voller Absicht behindert, muss ein Volltrottel sein. Und das tut GMX.
Du sagst, du sperrst nicht? Es gibt den Zusatnd, das auf ein Ping die Antwort kommt oder sie kommt nicht. Bei dir kommt sie nicht (Zeitüberschreitung der Anforderung=Timeout), also sperrst du das, denn ich warte auf eine Antwort und bekomme sie nicht.
Halte jetzt von mir, was du willst, ich habe keine Lust mehr, damit EOD.
Bye, Klaus

bei Antwort benachrichtigen
Teletom Klaus_T „Ich habe niemanden beleidigt, sonder nur Tatsachen ausgesprochen. Und was ich...“
Optionen

>Wer das Internet vorsaetzlich und mit voller Absicht behindert, muss ein Volltrottel sein.
Warum beschwerst Du Dich nicht bei GMX oder am besten bei einem internationalen Gremium? Doch Achtung die Gefahr besteht, dass die Beschwerdeentgegennehmenden, Dich mit Sicherheit auslachen.

Weil "Zeitüberschreitung der Anforderung" als Fehlerausschrift bei einem Ping erscheint, behindert niemand vorsätzlich und niemand mit voller Absicht das Internet. Bei einer offline-befindlichen IP, die tatsächlich existiert, kommt ebenfalls die Fehlerausschrift "Zeitüberschreitung der Anforderung" bei einem Ping und keiner blockiert etwas, der DHCP des Providers hat diese IP einfach noch nicht verteilt oder die IP ist gerade freigeworden. Deshalb ist der Nutzer, der vor kurzem mit der IP online war, auf keinen Fall ein Internetbehinderer.

Den gleichen Effekt kann man bei einer online befindlichen IP mit Hilfe einer Firewall mit ICMP-Einstellungen erzielen, wichtig dabei ist, dass man die funktionsnotwendigen Teile des ICMP-Protokolls nicht vorsätzlich abschaltet. Somit ist auch in dem letzten Fall keine Internetbehinderung vorhanden.

Das Verwenden von Schimpfwörtern zeugt leider nicht von einem guten Stil und suggeriert, dass man sich auf ein niedriges Schimpfwortniveau befindet. Darüber hinaus wird durch das Verwenden von Schimpfwörtern häufig auf ein Fehlen von Argumenten geschlossen.

Wenn Du Trottel-hin-Trottel-her Diskussionen gerne betreibst, ist das Dein Problem, das kannst Du jedoch mit meisten ernsthaften Diskussionspartnern eben nicht machen.

Gruß und viel Spaß beim Trotteln
wünscht
Teletom

bei Antwort benachrichtigen
-IRON- Teletom „ Wer das Internet vorsaetzlich und mit voller Absicht behindert, muss ein...“
Optionen



Du hast sehr schön erklärt, dass ein OFFLINE-Rechner, an den eine verfügbare aber nicht vergebene IP-Nummer gar nicht erst vergeben werden kann (weil er ja offline ist), nicht anpingbar ist.
Versucht man also, die nicht vergebene IP-Nummer anzupingen, erhält man deine berüchtigte Zeitüberschreitung. Das Internet wird, wie du sagtest, nicht behindert. Vor allem deshalb nicht, weil die verfügbare IP-Nummer nicht vergeben ist. Es wird daher nur sehr wenige Rechner geben, die diese IP-Nummer anpingen wollen, sei es, weil sie von einem Filesharer genutzt werden, der bis eben bei einem anderen Rechner mit dieser IP-Nummer gesaugt oder sonstwie Daten angefordert oder erhalten haben.
Ein Rechner aber, der ONLINE ist und an den deshalb eine verfügbare IP-Nummer vergeben wurde, WILL ja im Internet erreichbar sein, fordert Daten von Web-und anderen Servern oder beliebigen PCs an oder sendet selbst welche. Es ist also im Interesse dessen Benutzers, diesen Datenaustausch zu optimieren. Dazu dient ICMP.
Natürlich kann man sich die Mühe machen, und einzelne ICMP-Typen blockieren, weil ja auch mal Pings den Rechner erreichen, die nicht gewollt sind. Aber zu welchem Preis? Machts ein Anfänger, blockt er zuviel und schießt sich selbst ins Knie. Machts ein Fortgeschrittener, ist es auch nicht mehr als ein Trostpflaster, denn sollte die Gegenstelle nicht nur einzelne Pings senden, sondern ein ICMP-Flooding versuchen, ist er wieder angeschmiert.
Damit wären wir wieder bei GMX. Das sind Webserver, keine Privat-PCs. Ein Blockieren von ICMP kann daher bis zu einem gewissen Grad sogar nutzen. Aber auch einen GMX-Server, der durch ein Firewall-Konzept geschützt wird, kann man überlasten.

Um mal deine Worte zu verwenden:
Also nochmal: Lies RFC 792.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom -IRON- „ Du hast sehr schön erklärt, dass ein OFFLINE-Rechner, an den eine verfügbare...“
Optionen

RFC 792 habe ich schon ein paar Mal gelesen.

Es gibt sicherlich mehrere Lösungen, die "Zeitüberschreitung der Anforderung" als Fehlerausschrift im Internet für den Ping-Sender erscheinen lassen.

Ich denke, eine Lösung ist die laut Microsoft (XP-Firewall):
# Echo Request eingehend nicht zulassen
# Timestamprequest eingehend nicht zulassen
# Mask Request eingehend nicht zulassen RFC 950
# Routeranforderung eingehend nicht zulassen RFC 1256
# Destination unreachable ausgehend nicht zulassen
# Source Quench ausgehend nicht zulassen
# Parameter Problem ausgehend nicht zulassen
# Zeitüberschreitung ausgehend nicht zulassen
# Redirect (Umleiten) nicht zulassen

Gruß
Teletom

bei Antwort benachrichtigen
TheTwister Nachtrag zu: „ICMP-Ping“
Optionen

Ich weis das es auch ohne Firewall geht und hab es nicht vergessen.

Wenn man sein System sauber hält, regelmäßige BS-und Antivirus Updates aufspielt und nicht auf alles klickt was die Maus vor die Nase bekommt hält man das Risiko gering von einem Hacker angegriffen zu werden bzw. sich zb. einen Dialer einzufangen
Zumal ich ja auch diverse Dienste abgestellt habe.(zb. TCP/IP-NetBios Hife incl.Treiberdeaktivierung, Remotedesktopverbindung, Nachrichtendienst, Serverdienst)
Außerdem sind Hacker nicht so sehr an Einzelplatzrechnern interressiert sondern an großen Firmennetzwerken.

Und dubiose Files in E-Mails nehm ich schon garnicht an.
Außerdem läuft noch Antivirus im Hintergrund und checkt jede Datei die geöffnet wird incl. ein-und ausgehende E-Mails.

Das dürfte eigentlich reichen.

Ich habe keine Signatur !!!
bei Antwort benachrichtigen
GarfTermy TheTwister „ICMP-Ping“
Optionen

...sollte sich auf diesem brett nicht etwas ändern? na?

aber es geht wie gehabt weiter. sehr schade.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Klaus_T GarfTermy „...sollte sich auf diesem brett nicht etwas ändern? na? aber es geht wie gehabt...“
Optionen

Was soll sich aendern? Wenn die Leute nicht lesen und auch verstehen, was sie lesen, wird es immer so weiter gehen. Das Problem ist, dass die 'andere Seite' das auch sagt (-;
Genau aus diesem Grund gehe ich Diskussionen aus dem Weg. Es bringt nichts, ich habe jetzt so viel geschrieben, andere haben auch viel geschrieben und keiner wurde ueberzeugt. Es ist Zeit- und Energie-Verschwendung zu Diskutieren.
Bye, Klaus

bei Antwort benachrichtigen
GarfTermy Klaus_T „Was soll sich aendern? Wenn die Leute nicht lesen und auch verstehen, was sie...“
Optionen

ja. da hast du wohl recht.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen