[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Denial-of-Service-Attacke?

Karlheinz Guenster schrieb:
> danke für Eure Antworten. Es muss also nicht tatsächlich so viele
> gehackte Rechner geben, wie ich IP-Adressen gelesen habe. Ich dachte
> schon fast, nur meiner ist noch sauber. :-))

Doch, die sind schon alle infiziert.

Hin und wieder kann es sinnvoll sein, ein Script zu basteln, um die 
Absender (oder deren Provider) zu informieren. Für mich war der letzte 
derartige Fall Nimda im letzen Jahr. Händisch mache ich das nur im 
Einzelfall, an Kollegen aus dem gleichen Netz o.ä., wo man auch eine 
positive Rückmeldung erwarten kann.

> Mittlerweile bin ich öfter mit PM gefragt worden, wie ich auf den
> Wurm kam. Zuerst habe ich in /etc/services nachgeschaut, ob diese
> Portbezeichnung (SPT und DPT) dort drin stand. 

/etc/services ist nur ein distributionsabhängiges Konstrukt. Manche 
klatschen dort alles rein, andere nur das, was wirklich innerhalb der 
Distribution auch benutzt wird. Die offizielle Zuweisung der IANA war 
früher in RFCs festgelegt und ist heute unter 

ftp://ftp.iana.org/assignments/port-numbers

zu bekommen. Wobei offiziell nur bedeutet, dass kein anderer eine 
offizielle Zuweisung bekommen. Wie die Leute die Ports benutzen steht 
auf einem anderen Blatt.  

> dann führte die Eingabe von "source port 1978" in Google mit "Seiten
> auf Deutsch" zu (ich hoffe, der Link wird nicht umbrochen):

Gängige Notation und damit gutes Suchmuster ist: PortNr/Protkoll, also 
beispielsweise 1978/udp.

-- 
rainer@ellinger.de
Reply to: