Ports/Trojaner-Scan: ICMP Port auf

Internet Internet Sicherheit
#1

Hallo,
nachdem ich jetzt endlich SP2 installiert habe (*g*), habe ich mal wieder diverse Port- bzw. Trojaner-Scans durchführen lassen. Immer noch alles dicht, nur bei http://scan.sygatetech.com/ kommt die Meldung, dass das „Protocol ICMP / Type 8“ OPEN ist.
Und bei http://www.grc.com (Shields up!) kam das hier:

Results from scan of ports: 0-1055
0 Ports Open
0 Ports Closed
1056 Ports Stealth

1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED

  • ALL tested ports were STEALTH,
  • NO unsolicited packets were received,
  • A PING REPLY (ICMP Echo) WAS RECEIVED.

Was tun, wie bzw. überhaupt schließen?
Habe mal im Archiv nachgeguckt, verstehe da aber nix - also bitte langsam reden. :wink:

Danke, #.

#2

nachdem ich jetzt endlich SP2 installiert habe (*g*), habe ich
mal wieder diverse Port- bzw. Trojaner-Scans durchführen
lassen. Immer noch alles dicht, nur bei
http://scan.sygatetech.com/ kommt die Meldung, dass das
„Protocol ICMP / Type 8“ OPEN ist.

(…)

Was tun, wie bzw. überhaupt schließen?

Nix tun. ICMP Type 8 ist einfach nur das, was ankommende Pakete für „ping“ und Konsorten behandelt und sollte in praktisch keinem Netzwerksystem ein ernsthaftes Sicherheitsproblem darstellen.

#3

Nix tun. ICMP Type 8 ist einfach nur das, was ankommende
Pakete für „ping“ und Konsorten behandelt und sollte in
praktisch keinem Netzwerksystem ein ernsthaftes
Sicherheitsproblem darstellen.

Bedankt.
#.

#4

Hallo,

Hi,

nachdem ich jetzt endlich SP2 installiert habe (*g*),

*umpf*

[http://scan.sygatetech.com/ „Protocol ICMP / Type 8“ OPEN]

Oh weh…

Und bei http://www.grc.com (Shields up!) kam das hier:

Results from scan of ports: 0-1055
0 Ports Open
0 Ports Closed
1056 Ports Stealth

1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

Das heisst: Dein TCP/IP-Stack ist ziemlich kaputt und verhaelt sich nicht gemaess den Spezifikationen.

TruStealth: FAILED

Wow, es gibt eine Steigerung von Stealth?

  • ALL tested ports were STEALTH,
  • NO unsolicited packets were received,
  • A PING REPLY (ICMP Echo) WAS RECEIVED.

Aha, das heisst das. Das muss so sein, es sei denn, Dein Rechner ist aus. ICMP ist (meistens) nicht boese.

Was tun, wie bzw. überhaupt schließen?

Gar nicht. Aber was immer Dein IP-Stack kaputt macht, sollte entsorgt werden.

Gruss vom Frank.

#5

Das heisst: Dein TCP/IP-Stack ist ziemlich kaputt und verhaelt
sich nicht gemaess den Spezifikationen.

Irgendein Online-Test produziert irgendwelche Ergebnisse. Daraus Schlussfolgerungen zu ziehen scheint mir verwegen.

Shields Up!
Schorsch

#6

Das heisst: Dein TCP/IP-Stack ist ziemlich kaputt und verhaelt
sich nicht gemaess den Spezifikationen.

Irgendein Online-Test produziert irgendwelche Ergebnisse.
Daraus Schlussfolgerungen zu ziehen scheint mir verwegen.

Okay, ich korrigiere: irgendwas zwischen grc.com und dem OP ist kaputt (meint: implementiert TCP/IP falsch). Ich vermute trotzdem den Defekt an beiden Endpunkten.

Shields Up!

Results from scan of ports: 0-1055

 1 Ports Open
 1055 Ports Closed
 0 Ports Stealth
---------------------
 1056 Ports Tested

NO PORTS were found to be STEALTH.

Muss ich jetzt sterben?

Gruss vom Frank.

#7

Okay, ich korrigiere: irgendwas zwischen grc.com und dem OP
ist kaputt (meint: implementiert TCP/IP falsch). Ich vermute
trotzdem den Defekt an beiden Endpunkten.

Ja, und jetzt?
#.

#8
  • ALL tested ports were STEALTH,
  • NO unsolicited packets were received,
  • A PING REPLY (ICMP Echo) WAS RECEIVED.

Aha, das heisst das. Das muss so sein, es sei denn, Dein
Rechner ist aus. ICMP ist (meistens) nicht boese.

Naja, das ist dann auch der einzige Haken bei der Firewall in der entsprechenden Karte.
Lasse mich jetzt auch nicht von Dir nervös machen, denn trotz SP2-Verzögerung bin ich mir immer noch ziemlich sicher, in den letzten Jahren alles richtig gemacht zu haben… :wink:
#.

#9

Okay, ich korrigiere: irgendwas zwischen grc.com und dem OP
ist kaputt (meint: implementiert TCP/IP falsch). Ich vermute
trotzdem den Defekt an beiden Endpunkten.

Ja, und jetzt?

Mach ihn halt ganz. Stealth ist kein gueltiger Zustand fuer einen port. Der ist entweder closed oder open. Ich vermute, dass Du irgendein komisches Programm installiert hast, das Deinen Rechner auf Verbindungsversuche zu closed ports nicht antworten laesst, dass der closed ist. Die ueblichen Verdaechtigen sind personal firewalls.

Gruss vom Frank.

#10

Mach ihn halt ganz. Stealth ist kein gueltiger Zustand fuer
einen port. Der ist entweder closed oder open. Ich vermute,
dass Du irgendein komisches Programm installiert hast, das
Deinen Rechner auf Verbindungsversuche zu closed ports nicht
antworten laesst, dass der closed ist. Die ueblichen
Verdaechtigen sind personal firewalls.

Also, ich bin ja jetzt kein Experte, aber irgendwie schon recht lange ohne Unfälle im Internetz unterwegs und seit jeher auf Sicherheit bedacht.
Klar ist ein Port entweder offen oder zu, und tatsächlich habe ich auch mit Hilfe entsprechender Seiten mit Tipps viele Löcher manuell gestopft. Außerdem läuft die XP-Firewall, die m.E. besser ist als ihr Ruf.
Wie dem auch sei - auf den entsprechenden Portscan-Seiten wird man mit Gratualtionen ja geradezu überhäuft, wenn alles auf STEALTH steht. Insofern frage ich mich, ob Deine Ausführungen nicht etwas übertrieben sind.
Tja, am liebsten wäre mir jetzt eine genaue Anleitung, wie ich alles (!) manuell dicht machen kann. Ist sowas machbar?
Gruß, #.

#11

Hi,

Tja, am liebsten wäre mir jetzt eine genaue Anleitung, wie ich
alles (!) manuell dicht machen kann. Ist sowas machbar?

klar. Ich bin der Meinung, dass man nach folgender Liste hinreichend(!) sicher unterwegs ist:

  • Installation des SP2 zzgl. aller Updates
  • XP Antispy durchlaufen lassen*
  • dingens.org durchlaufen lassen
  • AntiVir oder G-Data AVK aktuell halten
  • Firefox statt Internet Explorer einsetzen
  • Thunderbird statt Outlook Express einsetzen
  • VLC o.ä. statt Windows Media Player einsetzen
  • das obligatorische Brain 1.0 einsetzen

* XP Antispy ist etwas fummelig, nicht alle angebotenen Optionen sind sinnvoll. Bei Bedarf schreib ich gern, welche ich persönlich nicht für hilfreich erachte.

Gruß,

Malte

2 Like
#12

klar. Ich bin der Meinung, dass man nach folgender Liste
hinreichend(!) sicher unterwegs ist:

  • Installation des SP2 zzgl. aller Updates

Yep.

  • XP Antispy durchlaufen lassen*

Yep, wobei ich da gerne auf Dein Angebot zurückkommen würde.

Steht auch auf der to do-Liste (wobei auf der Seite ja auch steht, dass man das bei SP2 mit eingeschalteter Firewall gar nicht braucht).

  • AntiVir oder G-Data AVK aktuell halten

Yep.

  • Firefox statt Internet Explorer einsetzen

Logo.

  • Thunderbird statt Outlook Express einsetzen

Habe noch nie Outlook benutzt, sondern verwende seit Jahren Pegasus. Bin zu alt, um mich für was Neues zu begeistern. :wink:

  • VLC o.ä. statt Windows Media Player einsetzen

Yep.

  • das obligatorische Brain 1.0 einsetzen

Que?

Zusätzlich checke ich übrigens auch immer schon alle meine Mails auf dem Server, bevor ich sie mir auf die Kiste hole.

Danke bis hierher,
#.

#13

Die üblichen Verdächtigen sind personal firewalls
So, habe gerade mal mit ausgeschalteter XP-Firewall getestet.
Zusammenfassung:

sygatetech.com
Quick Scan:
Unable to determine your computer name!
Unable to detect any running services!

Die anderen Scans da brachten folgendes:
_Port 8 OPEN: An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you.

Port 135 OPEN: Microsoft relies upon DCE Locator service (RPC) to remotely manage services like DHCP server, DNS server and WINS server.
1900 This is the port used by Universal Plug and Play (UPnP). If this port is open anyone on the Internet may be able to_
[hier bricht der Text ab]

Jetzt kommt etwas, das ich nicht verstehe, denn bei allen als CLOSED bezeichneten Ports kam diese Meldung:
This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Jetzt die Ergebnisse von tools-on.net
_[Port Scanner]
Your query has produced following results:
Scan time : 1 min. 12 sec.
(only well-known ports scanned)
Total scanned 462 ports
Found 1 open port(s)
135 : epmap (Microsoft DCE Locator Service)

[Trojan Scanner]
Your query has produced following results:
Scan time : 0 min. 48 sec.
(only well-known ports scanned)
Total scanned 314 ports
No open ports found

[NetBIOS Scanner]
Your query has produced following results:
No information received._

Sieht doch gar nicht so übel aus, oder wie!?
#.

#14

Noch vergessen
TrojanCheck 6 Guard läuft bei mir auch immer.
#.

P.S.: Brain brauche ich doch nicht, wenn ich meine Mails eh vorher checke und dem TrojanCheck Guard laufen habe, oder!?

#15
  • XP Antispy durchlaufen lassen*

Yep, wobei ich da gerne auf Dein Angebot zurückkommen würde.

Die folgenden Punkte würde ich NICHT auswählen:

  • Media Player/automatischen Codec Download deaktivieren
  • Div. Einstellungen/Zeit nicht automatisch synchronisieren
  • Div. Einstellungen/Auslagerungsdatei beim Herunterfahren löschen
  • Div. Einstellungen/Aufruf von Regedit nicht zulassen
  • Div. Einstellungen/Beim Anmelden zuletzt eingeloggten User nicht anzeigen
  • Dienste/Dienst für automatische Updates deaktivieren
  • Dienste/Dienst zur Zeitsynchornisation deaktivieren
  • Dienste/Dienst für den Task Planer deaktivieren

Das sind alles Sachen, die - imho und auf einem PRIVATrechner - durchaus sinnvoll sind und nichts gefährliches an sich haben. YMMV.

Steht auch auf der to do-Liste (wobei auf der Seite ja auch
steht, dass man das bei SP2 mit eingeschalteter Firewall gar
nicht braucht).

Ja, das steht da. Leider. Der Unterschied ist folgender: Mit der „Firewall“ sperrst Du einen Massenmörder in ein Gefängnis. Das kann man „sicher“ nennen. Mit dem dingens.org-Tool schlägst Du ihm den Kopf ab.

Ich bin zwar vehementer Gegner der Todesstrafe, aber so lange es nur Software betrifft, ziehe ich „Rübe ab“ vor.

  • Thunderbird statt Outlook Express einsetzen

Habe noch nie Outlook benutzt, sondern verwende seit Jahren
Pegasus. Bin zu alt, um mich für was Neues zu begeistern. :wink:

Kann ich jetzt auch nix schlechtes zu sagen. Hauptsache nicht Outlook Express :smile:

  • das obligatorische Brain 1.0 einsetzen

Que?

Hirn einschalten beim Surfen.

Zusätzlich checke ich übrigens auch immer schon alle meine
Mails auf dem Server, bevor ich sie mir auf die Kiste hole.

Das ist sicher nicht verkehrt.

Gruß,

Malte

1 Like
#16

Das sind alles Sachen, die - imho und auf einem PRIVATrechner

  • durchaus sinnvoll sind und nichts gefährliches an sich
    haben. YMMV.

OK, danke.

Ja, das steht da. Leider. Der Unterschied ist folgender: Mit
der „Firewall“ sperrst Du einen Massenmörder in ein Gefängnis.
Das kann man „sicher“ nennen. Mit dem dingens.org-Tool
schlägst Du ihm den Kopf ab.

Ich bin zwar vehementer Gegner der Todesstrafe, aber so lange
es nur Software betrifft, ziehe ich „Rübe ab“ vor.

OK, danke.

  • Thunderbird statt Outlook Express einsetzen

Habe noch nie Outlook benutzt, sondern verwende seit Jahren
Pegasus. Bin zu alt, um mich für was Neues zu begeistern. :wink:

Kann ich jetzt auch nix schlechtes zu sagen. Hauptsache nicht
Outlook Express :smile:

Logo.

  • das obligatorische Brain 1.0 einsetzen

Que?

Hirn einschalten beim Surfen.

Gehe eh nie ohne meins on. :wink:

Danke,
#.

#17

Hallo,

Muss ich jetzt sterben?

Nein, aber Steve Gibson muß endlich mal.

http://www.grcsucks.com/

have fun,

Sebastian

#18

Hallo,

sygatetech.com
Quick Scan:
Unable to determine your computer name!
Unable to detect any running services!

Sowas sieht gut aus.

Die anderen Scans da brachten folgendes:
Port 8 OPEN: An ICMP ping request is usually used to test
Internet access. However, an attacker can use it to determine
if your computer is available and what OS you are running.
This gives him valuable information when he is determining
what type of attack to use against you.

Naja, das ist eher Unsinn. Wenn Du nicht verraten willst, daß Du „im Internet“ bist stellst Du einfach den Rechner aus.

Port 135 OPEN: Microsoft relies upon DCE Locator service (RPC)
to remotely manage services like DHCP server, DNS server and
WINS server.

Nun, der Port sollte zu sein.

1900 This is the port used by Universal Plug and Play (UPnP).
If this port is open anyone on the Internet may be able to
[hier bricht der Text ab]

Okay, sie Leute haben Probleme mit ihrer Software. Noch Fragen?

Jetzt kommt etwas, das ich nicht verstehe, denn bei allen als
CLOSED bezeichneten Ports kam diese Meldung:
This port has responded to our probes. This means that you
are not running any application on this port, but it is still
possible for someone to crash your computer through known
TCP/IP stack vulnerabilities.

Ja, und dagegen hilft nichts. Auch keine „Firewall“. Auußer den Rechner vom Netz zu trennen.

Jetzt die Ergebnisse von tools-on.net
[Port Scanner]
Your query has produced following results:
Scan time : 1 min. 12 sec.
(only well-known ports scanned)
Total scanned 462 ports
Found 1 open port(s)
135 : epmap (Microsoft DCE Locator Service)

Deckt sich mit obigem. „Irgendwo“ gibt es dieses Script, mit dem man sowas abschaltet.

[NetBIOS Scanner]
Your query has produced following results:
No information received.

Gut.

Gruß,

Sebastian

1 Like
#19

Port 135 + Port 1900 jetzt dicht

Sowas sieht gut aus.

Puh! :wink:

Naja, das ist eher Unsinn. Wenn Du nicht verraten willst, daß
Du „im Internet“ bist stellst Du einfach den Rechner aus.

OK, danke.

Port 135 OPEN

Nun, der Port sollte zu sein.

„Irgendwo“ gibt es dieses Script, mit
dem man sowas abschaltet.

Ja, das Tool von dingens.org hat’s zugemacht.

1900 This is the port used by Universal Plug and Play (UPnP).
If this port is open anyone on the Internet may be able to
[hier bricht der Text ab]

Okay, sie Leute haben Probleme mit ihrer Software. Noch
Fragen?

Ja bzw. nein, denn nach dingens.org ist der auch dicht.

Gut.

Genau.

Vielen Dank,
#.

#20

Hallo Hofee

P.S.: Brain brauche ich doch nicht, wenn ich meine Mails eh
vorher checke und dem TrojanCheck Guard laufen habe, oder!?

Doch, auch dann brauchst Du Brain. Mit hinreichend Brain kannst Du sogar auf diese Sachen verzichten, da sie nicht wirklich zuverlässig funktionieren. Denn beim Scannen von eingehenden E-Mails besteht immer die Gefahr, dass das Antivirentool etwas nicht erkennt. Sei es, weil es sich um einen ganz neuen Wurm handelt, sei es, weil der Wurm sich vor dem Antivirentool verbergen kann (z.B. mittels Laufzeitcodierung).

Was also durchkommt, ist nicht zwangsläufig sauber.

Brain ist in jedem Fall notwendig.

Und nun noch zum Thema ‚Stealth‘ und warum das Unfug ist:

Wenn jemand bleistiftsweise einen Portscan durchführt, gibt es mehrere Möglichkeiten, was er als Antworten erhält. Wenn eine IP nicht in Verwendung ist, wird der letzte Router auf dem Weg dorthin ein ‚Destination unreachable‘ melden. Wenn eine IP in Verwendung ist und der Rechner, der sie verwendet, normal konfiguriert ist, bekommt er je nachdem ‚Service unavailable‘ oder eine Meldung des Dienstes, der am betreffenden Port läuft. Wenn die IP in Verwendung ist, der Rechner aber auf ‚Stealth‘ läuft und somit alle Anfragen wie Pings, Portscans etc. einfach verwirft, bekommt der Urheber des Portscans gar keine Antwort.

Auf den ersten Blick könnte man meinen, dass das sinnvoll ist. Auf den zweiten Blick aber nicht mehr. Denn keine Antwort ist, zumindest hier, sehr wohl auch eine Antwort. Da kein ‚Destination unreachable‘ zurückkommt, kann man davon ausgehen, dass die IP in Verwendung ist. Da aber auch kein ‚Service unavailable‘ oder so kommt, kann man sich an einer Hand abzählen, dass der betreffende Rechner vermutlich eben ‚Stealth‘ ist. Da dies vorwiegend mittels Personal Firewall erreicht wird, kann der Urheber des Portscans eine Ladung Exploits für verschiedene PFW auf diese IP loslassen und so versuchen, auf den Rechner zu gelangen.

Es kommt zwar auch vor, dass Provider ihre Router so konfigurieren, dass sie keine korrekten Meldungen wie ‚Destination unreachable‘ geben. Aber das ist eigentlich schlecht, da es gegen die geltenden Empfehlungen verstösst.

CU
Peter

1 Like