Hallo Experten.
Ich habe die Windows Firewall „Zone Alarm“ installiert und habe nun folgende Frage:
Wenn mich ein Computer anpingt, zeigt mir Zone Alarm die entsprechende Ip-Adresse des fremden Rechners.
Wieviele Informationen lassen sich aus einer Ip-Adresse rauslesen. Wie und was kann ich über den fremden Rechner erfahren der mich anpingt.
„Ping“ ist doch ein geziehlter Vorgang, oder? Der fremde Rechner wollte doch genau die Anwesenheit meines Rechners testen?
Shorty
Ich habe die Windows Firewall „Zone Alarm“ installiert
Warum?
und habe nun folgende Frage:
Fragen sind immer gut.
Wenn mich ein Computer anpingt, zeigt mir Zone Alarm die
entsprechende Ip-Adresse des fremden Rechners.
Die mutmassliche, ja.
Wieviele Informationen lassen sich aus einer Ip-Adresse
rauslesen.
Zunächst mal bestenfalls der Provider des Gegenüber.
Mit ein wenig mehr Aufwand und einer gewissen Unschärfe auch der Ort des Rechners.
Wie und was kann ich über den fremden Rechner
erfahren der mich anpingt.
Mit der IP kannst Du passiv herausfinden:
Mit etwas aktivem Engagement eventuell:
Soweit zu den legalen Mitteln.
„Ping“ ist doch ein geziehlter Vorgang, oder?
Hm, Jein. Gefährlich ist es jedenfalls nicht, und es sagt auch nichts darüber aus, ob das irgendein Softwareprodukt mal so gemacht hat, oder ob das von dem jeweiligen Benutzer veranlasst wurde. Genauso wenig sagt es etwas darüber aus, ob der Benutzer auf der anderen Seite bösetm Absichten hegt oder nicht.
Der fremde Rechner wollte doch genau die Anwesenheit meines
Rechners testen?
Nein. Der fremde Rechner, wollte testen, ob unter dieser IP jemand antwortet. Mehr nicht. Das ist per se noch nicht mal der Hauch eines Angriffes. Im Gegenteil, es kann sogar sein, daß das notwendig ist, damit Du bestimmte Dienste nutzen kannst, evtl. ist das sogar indirekt von Dir ausgelöst.
Also entspann Dich, deinstallier ZoneAlarm oder schalt zumindest die Alarmierung bei Pings ab. Achja, ich empfehle dringend, sich die via FAQ:138 erreichbaren Texte durchzulesen.
Gruß,
-doc
Ich habe die Windows Firewall „Zone Alarm“ installiert
Warum?
Warum nicht?
Erstmal danke für deine Antwort. Ich dachte auch nicht, dass der Ping auf irgendeine Weise einen Angriff auf meinen Rechner darstellen sollte.
Es interessiert mich einfach, warum und von wem ich angepingt wurde.
Kannst du mir die Methode mit nslookup und traceroute genauer erklären?
Ich mache mich auch bald an die Faqs, die du mir vorgeschlagen hast und dann stelle ich auch keine blöden Fragen mehr.
Bis ich die Faqs gelesen habe, könntest du mir ja deine Abneigung gegen ZoneAlarm erklären.
Shorty
Ich habe die Windows Firewall „Zone Alarm“ installiert
Warum?
Warum nicht?
s.u.
Erstmal danke für deine Antwort. Ich dachte auch nicht, dass
der Ping auf irgendeine Weise einen Angriff auf meinen Rechner
darstellen sollte.
Okay, das ist schonmal was.
Es interessiert mich einfach, warum und von wem ich angepingt
wurde.
Naja, Du wirst so ohne weiteres (und v.a. legal) keinen Namen herausbekommen und erst recht keinen Grund.
Kannst du mir die Methode mit nslookup und traceroute genauer
erklären?
Klar. Du benutzt Windows, daher erklär ich’s Dir mal anhand von Windows-Beispielen, für Forensik bevorzuge ich ansonsten Unix:
C:\\>nslookup 217.88.158.1
Server: gwendoline.docvalde.local
Address: 192.168.0.1
Name: pD9589E01.dip.t-dialin.net
Address: 217.88.158.1
Hieran siehst Du, daß der betr. User via T-Online ins Netz geht. Leider erstmal nicht mehr, denn das ist nur die Antwort des Nameservers, wie die IP „heisst“.
C:\\>tracert 217.88.158.1
Routenverfolgung zu pD9589E01.dip.t-dialin.net [217.88.158.1] über maximal 30 Abschnitte:
1
Hier siehst Du, welchen Weg die Pakete zu der IP nehmen. In der drittletzten Zeile steht etwas von HB-EB1.HB.DE.net.dtag.de, das lässt den Schluß zu, daß sich der Rechner mit der IP im Umkreis von Bremen befindet.
Ich mache mich auch bald an die Faqs, die du mir vorgeschlagen
hast und dann stelle ich auch keine blöden Fragen mehr.
Hey, stop, deine Frage ist nicht blöd. Sie ist durchaus berechtigt, aber sie muß auch konstruktiv-kritisch beantwortet werden.
Bis ich die Faqs gelesen habe, könntest du mir ja deine
Abneigung gegen ZoneAlarm erklären.
Meine Abneigung dagegen kannst Du in dem ersten verlinkten Text der benannten FAQ nachlesen 
Gruß,
-doc
Okay. Das mit Nslookup hat geklappt. Danke für die Infos. Der Name des Servers heisst dann also
„c-134-73-11.b.dial.de.ignite.net“ obwohl mich das wirklich nicht besonders viel sagt (was du ja schon vorgemerkt hast)
Es gab doch mal ein Programm namens Neotrace oder so, dass versprach den Ort des Rechners ziemlich exakt zu lokalisieren…
Ich hab dein Faq durchgelesen. Erleuchtend und einleuchtend.
Trotzdem habe ich noch eine Frage. Du schreibst:
„Gerade unter Windows Betriebssystemen interagiert Software. Damit meine ich, daß neu installierte Software die bereits vorhandene in ihrer Funktion
beeinträchtigen kann, z.B. durch veränderte Registryeinträge oder Austausch von Systemdateien“
Den Aspekt mit der interagierenden Software habe ich verstanden, jedoch verstehe ich nicht, inwiefern so die Funktionalität der PF beeinträchtigt wird.
Ansonsten sind die Argumente, die du gegen PFs anführst recht beeindruckend. Vorallem das Beispiel, indem beschrieben wird, wie der Real Player die Firewall umgeht. Wenn ich dich richtig verstanden habe, läuft dass so ab:
Bei dem Start einer Internetsession gibst du deinem Browser den Zugang zum Netz frei, dem Real Player verbietest du den Zugang. Wenn das Progamm es dann nicht schafft direkt ins Internet zu gelangen, benutzt es den Weg über den Browser, der ja schon die Berechtigung hat?
Wie hat man sowas entdeckt? Läuft der gleiche Trick auch über Windows Media Player, dem ich ständig den Zugang zu Internet verbiete?
Warum haben solche Applikationen wie Media Player oder Real Player eigentlich Heimweh nach ihrem Mutterserver?
-Shorty
Hi,
Es gab doch mal ein Programm namens Neotrace oder so, dass
versprach den Ort des Rechners ziemlich exakt zu
lokalisieren…
Das macht auch nicht viel mehr als tracert, bloß daß es versucht, die Hops auf einer groben Karte darzustellen. Aber wenn Dir das gefällt, benutz es ruhig, schlechter als Kommandozeile ist’s auch nicht.
Ich hab dein Faq durchgelesen. Erleuchtend und einleuchtend.
Trotzdem habe ich noch eine Frage. Du schreibst:„Gerade unter Windows Betriebssystemen interagiert Software.
Damit meine ich, daß neu installierte Software die bereits
vorhandene in ihrer Funktion
beeinträchtigen kann, z.B. durch veränderte Registryeinträge
oder Austausch von Systemdateien“Den Aspekt mit der interagierenden Software habe ich
verstanden, jedoch verstehe ich nicht, inwiefern so die
Funktionalität der PF beeinträchtigt wird.
Das ist auch ein recht schwammiges Argument, muß ich zugeben. Grundsätzlich hänge ich halt der Strategie an, so wenig Software wie irgend möglich zu installieren, weil es ja ein recht bekanntes Phänomen unter Windows sein dürfte, daß man sich mit jeder neuen Software den Rechner ein Stückchen mehr vollmüllt, und irgendwann irgendwas nicht mehr funktioniert, und kein Mensch weiß, warum genau (hängt meist mit irgendwelchen .dlls, Registry-Einträgen o.ä. zusammen). Das Argument richtet sich also nicht direkt gegen Personal Firewalls, sondern gegen den Spruch „Naja, aber schaden tut sie ja auch nicht.“.
Ansonsten sind die Argumente, die du gegen PFs anführst recht
beeindruckend. Vorallem das Beispiel, indem beschrieben wird,
wie der Real Player die Firewall umgeht. Wenn ich dich richtig
verstanden habe, läuft dass so ab:
Bei dem Start einer Internetsession gibst du deinem Browser
den Zugang zum Netz frei, dem Real Player verbietest du den
Zugang. Wenn das Progamm es dann nicht schafft direkt ins
Internet zu gelangen, benutzt es den Weg über den Browser, der
ja schon die Berechtigung hat?
Genau so.
Wie hat man sowas entdeckt?
So etwas entdeckt man, indem man einfach mal akribisch den Netzwerktraffic auf den unteren Abstraktionsebenen (ISO/OSI-Layer 3/4) mitschneidet und analysiert. Das ist allerdings schon was für Fortgeschrittene bis Experten.
Läuft der gleiche Trick auch über
Windows Media Player, dem ich ständig den Zugang zu Internet
verbiete?
Das weiß ich nicht genau. Ich hab mich da selbst noch nicht an solche Analysen unter Windows gemacht, weil ich solche Software nicht nutze und generell schon fast Microsoftfrei bin.
Warum haben solche Applikationen wie Media Player oder Real
Player eigentlich Heimweh nach ihrem Mutterserver?
Lizenzen abchecken, persönliche Daten zu Werbezwecken versenden… Überwachung und Kontrolle.
Gruß,
-doc
PS: Es ist generell denkbar, fortschrittliche und professionelle Personal Firewall-Produkte im industriellen Umfeld sinnvoll einzusetzen. Allerdings halte ich selbst dort andere Konzepte für wesentlich besser.