Re: Denial-of-Service-Attacke?
Karlheinz Guenster schrieb:
> danke für Eure Antworten. Es muss also nicht tatsächlich so viele
> gehackte Rechner geben, wie ich IP-Adressen gelesen habe. Ich dachte
> schon fast, nur meiner ist noch sauber. :-))
Doch, die sind schon alle infiziert.
Hin und wieder kann es sinnvoll sein, ein Script zu basteln, um die
Absender (oder deren Provider) zu informieren. Für mich war der letzte
derartige Fall Nimda im letzen Jahr. Händisch mache ich das nur im
Einzelfall, an Kollegen aus dem gleichen Netz o.ä., wo man auch eine
positive Rückmeldung erwarten kann.
> Mittlerweile bin ich öfter mit PM gefragt worden, wie ich auf den
> Wurm kam. Zuerst habe ich in /etc/services nachgeschaut, ob diese
> Portbezeichnung (SPT und DPT) dort drin stand.
/etc/services ist nur ein distributionsabhängiges Konstrukt. Manche
klatschen dort alles rein, andere nur das, was wirklich innerhalb der
Distribution auch benutzt wird. Die offizielle Zuweisung der IANA war
früher in RFCs festgelegt und ist heute unter
ftp://ftp.iana.org/assignments/port-numbers
zu bekommen. Wobei offiziell nur bedeutet, dass kein anderer eine
offizielle Zuweisung bekommen. Wie die Leute die Ports benutzen steht
auf einem anderen Blatt.
> dann führte die Eingabe von "source port 1978" in Google mit "Seiten
> auf Deutsch" zu (ich hoffe, der Link wird nicht umbrochen):
Gängige Notation und damit gutes Suchmuster ist: PortNr/Protkoll, also
beispielsweise 1978/udp.
--
rainer@ellinger.de
Reply to: