• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Portscan angriff

hallo,

ab und zu bekomme ich ein meldung.

ein portscan angriff wurde durch "IP adresse" veersucht.

was bedeutet das ?
ist das gefährlich ?

Danke im voraus,
Stev

portscan2.jpeg
 

/dev/null

Moderator
Teammitglied
Hi Stev,

was bedeutet das ?
ist das gefährlich ?

Was das bedeutet?
Das ist das normale "Rauschen des Internets".
ScriptKiddies laden sich automatisch arbeitende Tools aus dem Netz, geben einen Bereich von Adressen ein und lassen das Tool dann "arbeiten". Diese Tools klopfen also an alle (oder eine festgelegte Anzahl) von "Türen" (Ports) und prüfen, ob diese geöffnet sind, also dahinter ein Dienst läuft. Im nächsten Schritt wird dann geprüft, ob dieser Dienst schlecht gesichert, also verwundbar ist. Dazu hauen diese Tools superschnell 100.000te von üblichen Benutzernamen und Passwörtern raus. Mitunter landen sie auch einen Treffer, wenn eine Kombination davon passt ... .
Es wird also wie mit einer Schrotflinte immer wieder in die Luft geschossen und gehofft, dass da mal ein Vogel zur falschen Zeit am falschen Ort ist.
Es kann natürlich auch sein, dass jemand ganz bewusst deine IP scannt, aber das ist äußerst unwahrscheinlich.

==> Von einem richtigen Angriff von jemand, der etwas davon versteht, bemerkst du nichts!
==> Mich würden diese ständigen Meldungen nerven!
==> deaktivieren!

Und wie gefährlich ist das?
Der "Portscanner" stellt fest, dass auf der Kiste mit der IP x.x.x.x die Ports y und z geöffnet sind.
Und?
Hast du einen bestimmten Dienst zu laufen, dann müssen diese Ports geöffnet sein, denn du willst ja erreichbar sein.
Hast du keinerlei Dienste gestartet, dann solltest du auch keine geöffneten Ports besitzen.
==> Der Portscan ist also auch für dich eine gute Methode um festzustellen, ob und warum bei dir Ports geöffnet sind.
==> Sollten unberechtigterweise bzw. sinnlos Ports geöffnet sein => handeln.
==> Hast du bestimmte Dienste zu laufen, dann ist es deine Sache, diese sicher zu betreiben. Der Port ist aber immer offen (*)
==> Jeder durch den Firewall gemeldeter (besser: geloggter, siehe oben) "Angriff" ist ein abgewehrter Angriff
==> Und wie schon gesagt, ein Angriff vom Profi wird auf diese Weise kaum bemerkt ... .

(*) Ich lasse mal solche Sonderfälle wie Portknocking außer Betracht


HTH

MfG Peter
 

marce

Guru
http://www.linux-forum.de/portscan-angriff-1987424.html
http://www.linuxforen.de/forums/showthread.php?t=270590
 

/dev/null

Moderator
Teammitglied
Danke, marce!

Da will es entweder jemand ganz genau wissen, oder
uns (und allen anderen) nur unnütz Arbeit machen!

Wir sollten Gebühren für unsere Antworten einführen, dann gibt sich das ;-)

Andererseits, vor einer Antwort immer erst nach Doppelpostings suchen, macht auch keinen Spaß.


Mal sehen, ob der TE uns eine Antwort gibt.


MfG Peter
 

spoensche

Moderator
Teammitglied
/dev/null schrieb:
Andererseits, vor einer Antwort immer erst nach Doppelpostings suchen, macht auch keinen Spaß.#

FULL ACK. Mir juckt es in den Fingern den Thread dicht zu machen. Allerdings gebe ich ihm die Chance zu antworten.
 
Oben