Hallo!
mein Steganos Internet Security 2007 (immer mit den aktuellen signaturen)
meldet mir öfter am Tag folgenden Angriff abgewährt:
DoS.Generic.SYNFlood Port 5000
Wer kann mir da helfen?
Meine Firewall ist aktiv! Wie kann ich den Port 5000 & 1900 schließen und den Upnp - Dienst beenden?
Bin um jede Hilfe dankbar!
Hallo
mein Steganos Internet Security 2007 (immer mit den aktuellen
signaturen) meldet mir öfter am Tag folgenden Angriff abgewährt:DoS.Generic.SYNFlood Port 5000
Sogenannte Personal Firewalls (PFW) neigen dazu, alle möglichen Sachen zu melden. Sie machen sich dadurch wichtig und wollen Dich einlullen, dass Du denkst ‚Ach, ich bin ja so sicher…‘. Dabei ist vieles davon völlig unwichtiger Kram, der Dich nicht weiter zu interessieren braucht.
‚DoS.Generic.SYNFlood‘ bedeutet, dass es eine Menge Anfragen an Deine IP auf Port 5000 bemerkt hat und das als möglichen ‚Denial of Service‘-Angriff eingestuft hat. Ob es sich wirklich um so einen Angriff handelt oder ob es eine Fehlinterpretation von dem Steanos-Teil ist, ist schwer zu sagen.
Wer kann mir da helfen?
Am besten Du Dir selber, indem Du Dir Wissen rund um Netzwerke aneignest, damit Du solche Meldungen verstehst und geeignete Massnahmen erigreifen kannst, z.B. bei irrelevanten Sachen abstellen, dass es gemeldet wird.
CU
Peter
Wenn deine Firewall dir den Angriff meldet ist doch alles ok - dann wird sie diesen in aller Regel auch abwehren. Trotzdem heisst es, wenn deine personal Firewall dies meldet, nicht unbedingt das auf den jeweiligen Ports auch Anwendungen horchen.
Wie mein Vorposter schon anmerkte machen sich diese personal Firewalls gerne mal wichtiger und melden auch gerne Dinge, die im Normalfall keinerlei Auswirkungen haetten.
Ansonsten ist die einzig sinnvolle Aktion bei einem wirklichem DDoS-Angriff auf eine Dial-Up-Connection: Disconnect und neu Einwaehlen. Dann bekommt man normalerweise eine neue IP und der Angriff sollte somit beendet sein.
Gruesse
Stefan
Aber jedesmal nach dieser Meldung(Angriff abgewehrt) geht das Internet nicht mehr!
Wie kann ich diese Ports und die Dienste schließen?
Hallo Sandra
Aber jedesmal nach dieser Meldung(Angriff abgewehrt) geht das
Internet nicht mehr!
Aha. Nun, dann stellt sich die Frage, ob die PFW eine Funktion besitzt, die sich ungefähr ‚Intrusion Detection System‘, kurz IDS, nennt. Wenn ja, würde ich Dir empfehlen, sie auszuschalten.
Erklärung: In einem grösseren Netzwerk, z.B. bei einer Firma, kann man solch ein IDS mit entsprechender professioneller Ausrüstung einrichten, um gross angelegte Angriffe, z.B. ‚Distributed Denial of Service‘-Angriffe (DDoS), rasch erkennen zu können. Und um geeignete Massnahmen zu ergreifen. Weil der/die Server meist über eine statische IP-Adresse verfügen, die die Firma beim Internet-Provider gemietet hat, kann man nicht einfach die Verbindung trennen und neu einwählen.
Seit einiger Zeit bringen PFW auch solche IDS mit. Das führt dann dazu, dass im Moment, wo eine grössere Menge ankommender Datenpakete bemerkt werden, der Internetzugang faktisch abgeklemmt wird. Es ist aber, zumindest für den normalen PFW-Nutzer, nicht erkennbar, was da genau passiert ist und warum jetzt die PFW die Leitung dicht macht. Auslöser kann z.B. sein, dass Du Dich einwählst und eine IP bekommst, die noch vor 5 Minuten jemand verwendet hat, der Filesharing betrieben hat. Bei Filesharing-Programmen ist es normal, dass grössere Mengen von Datenpaketen eintrudeln. Wenn Du selber Filesharing betreibst, willst Du das so haben, wenn Du keines betreibst, können Dir solche Wellen von Paketen egal sein.
Wenn Dir die PFW wegen so etwas den Zugang dicht macht, schiesst Du Dir nur selber ins Knie. Es ist schlicht nicht sinnvoll.
Wie kann ich diese Ports und die Dienste schließen?
Hast Du denn auf den fraglichen Ports entsprechende Dienste am Laufen? Hast Du denn z.B. Bearshare bei Dir eingerichtet? Wenn ja, willst Du das ja sicher verwenden, um Filesharing zu betreiben. Und wenn Du kein solches Programm verwendest, können Dir wie gesagt solche Wellen von ankommenden Paketen egal sein, das Filesharing-Netzwerk merkt irgendwann selber, dass an dieser IP keiner mehr ist, der sich beteiligt und hört auf, Dir diese Pakete zu senden.
CU
Peter