Wer scaned mich

Peter_7fc25a · 22. März 2007 um 20:59

Hi,
mein ZoneAlarm ( nicht Pro-Version) meldet Internet-Zugriffe von 5.39.39.64 mit aufsteigender TCP Portnummer.
Nach den Tools (z.B. SmartWhois) ist die Adresse nicht vergeben!!!
Wie krieg ich den raus wer da was von mir will ?
Danke
Peter

pumpkin_1768a9 · 22. März 2007 um 21:07

Moien

mein ZoneAlarm ( nicht Pro-Version) meldet Internet-Zugriffe
von 5.39.39.64 mit aufsteigender TCP Portnummer.

Ignorieren.

Nach den Tools (z.B. SmartWhois) ist die Adresse nicht
vergeben!!!

Whois enthält nur die Daten zu fixen Domains. Es gibt schätzungsweise 2,5 Milliarden IPs ohne Domaineintrag.

Wie krieg ich den raus wer da was von mir will ?

Das gleiche wie die anderen auch. Übrigens wundert es mich dass dich so ein simpler Scan aufregt. Rechner im Internet werden durchschnittlich alle 45 Sekunden angegriffen (http://isc.sans.org/). Portscans sind da nun wirklich nix wildes.

cu

Hinterw_ldler_37172f · 22. März 2007 um 21:37

Hi Peter

mein ZoneAlarm ( nicht Pro-Version) meldet Internet-Zugriffe
von 5.39.39.64 mit aufsteigender TCP Portnummer.
Nach den Tools (z.B. SmartWhois) ist die Adresse nicht
vergeben!!!

Du bist soeben im Hintergrundrauschen des realen Internets angekommen. Meine Gratulation.

Eine statistiche Erhebung von Payback ergab:
Wer ZA benutzt, kauft auch auf dieser Page: http://www.kyborg-institut.de/

Mehr über Personalfirewalls erfährst du auf der Page der Leute, vor denen dich dieses Dings ursprünglich schützen sollte http://ulm.ccc.de/PersonalFirewalls

Nachfolgend ein paar wenige Literaturstellen zum Nachblättern. Vergiss aber vorher nicht dein Herztropfen zu nehmen:

der hinterwäldler

–
Falls aus bestimmten Gründen ein Windows-System unverzichtbar ist,
sollte es wenigstens vom OP so organisiert sein, das es unverzüglich
platt gemacht werden kann und binnen weniger Minuten ohne Datenverlust
wieder verfügbar ist.

Hinterw_ldler_37172f · 22. März 2007 um 21:55

Moien

Das gleiche wie die anderen auch. Übrigens wundert es mich
dass dich so ein simpler Scan aufregt. Rechner im Internet
werden durchschnittlich alle 45 Sekunden angegriffen
(http://isc.sans.org/). Portscans sind da nun wirklich nix
wildes.

Ich kann keine Ironietags erkennen. Wie schützt man sich vor solchen Meldungen?

Würdest du bitte diesen Vorgang so erklären, das ich nicht erst im Wiki blättern muß? Wenn ich deinen Worten richtig folge, besteht das Internet aus 600 Mio Teilnehmer, welche die restlichen 100.000 aus OldGermany pausenlos belauern.

der hinterwäldler

–
hat neben WindowsXP-Home SP2 mit allen Fixes, Patches
und Updates sowie FF&TB, jedoch ohne On-Demand-Scanner
und spezieller PFWs, dafür aber mit dem kostenlosen
Paragon DriveBackup 7.5, auch Linux Suse 10.1 auf seiner
Festplatte installiert. Er war deswegen im w-w-w schon
ohne Widerspruch anderer Leser, fundamentalistischer
Taliban und kürzlich erst wieder: Windows-Hasser )))

ExNicki_99e239 · 22. März 2007 um 22:47

Hi Peter

mein ZoneAlarm ( nicht Pro-Version) meldet Internet-Zugriffe
von 5.39.39.64 mit aufsteigender TCP Portnummer.
Nach den Tools (z.B. SmartWhois) ist die Adresse nicht
vergeben!!!
Wie krieg ich den raus wer da was von mir will ?

ich liebe dieses Programm. Es ist so kommunikativ. Besonders bei harmlosen Scans. Und wenn dann alle 10 Minuten ein Fensterchen aufpoppt, ist der User beruhigt und glaubt, das Ding würde schützen.
Ist leider nicht so. ZA lässt richtig böse Malware ungehindert durch.
Er antwortet nur brav, wenn die Progis auch anfragen. Die bösen vergessen aber meist, anzufragen.
Es gibt aber durchaus was Sinnvolles, das man mit ZA tun kann: Deinstallieren. Wenn du XP hast, schalt die eingebaute Firewall an, die genügt vollkommen. Wenn du dich hinter einem ordentlich konfigurierten Router versteckst, ist ein Softwarefirewall eh überflüssig.

Gruss
ExNicki

Malte_4b1c84 · 23. März 2007 um 00:56

Moien

Das gleiche wie die anderen auch. Übrigens wundert es mich
dass dich so ein simpler Scan aufregt. Rechner im Internet
werden durchschnittlich alle 45 Sekunden angegriffen
(http://isc.sans.org/). Portscans sind da nun wirklich nix
wildes.

Ich kann keine Ironietags erkennen.

Wozu auch.

Würdest du bitte diesen Vorgang so erklären, das
ich nicht erst im Wiki blättern muß? Wenn ich deinen Worten
richtig folge, besteht das Internet aus 600 Mio Teilnehmer,
welche die restlichen 100.000 aus OldGermany pausenlos
belauern.

Das wird schon wieder offtopic, wozu ich letztlich erst was schrieb.
Wo Du Dir diese Zahlen hergewürfelt hast, bleibt wohl ein Rätsel.
Es ging um IP-Adressen, denen eine TLD zugeordnet ist. Dazu bleibt zu bemerken, dass das die allerwenigsten sind, auf der anderen Seite allerdings _jede_ IP einen reverse DNS-Eintrag haben „müsste“, in Europa haben „muss“. Allerdings haben Domain-WHOIS-Einträge und IP-WHOIS-Einträge nur wenig miteinander zu tun, und den tatsächlichen Benutzer erreicht man darüber im Zweifel sowieso nicht.

–
hat neben WindowsXP-Home SP2 mit allen Fixes, Patches
und Updates sowie FF&TB, jedoch ohne On-Demand-Scanner
und spezieller PFWs, dafür aber mit dem kostenlosen
Paragon DriveBackup 7.5, auch Linux Suse 10.1 auf seiner
Festplatte installiert. Er war deswegen im w-w-w schon
ohne Widerspruch anderer Leser, fundamentalistischer
Taliban und kürzlich erst wieder: Windows-Hasser )))

Tust Du uns allen einen Gefallen? Es ist zwar keine verbriefte w-w-w-Regel, aber für Signaturen haben sich vier Zeilen á 72 Zeichen eingebürgert. Ich neige dazu, das als de facto-Standard zu betrachten und zu behandeln.

Gruß,

Malte

Fritze · 23. März 2007 um 09:45

Hallo zusammen,

Nach den Tools (z.B. SmartWhois) ist die Adresse nicht
vergeben!!!

Whois enthält nur die Daten zu fixen Domains. Es gibt
schätzungsweise 2,5 Milliarden IPs ohne Domaineintrag.

Wobei das 5.0.0.0/8 Class A von IANA derzeit als „reserviert für
zukünftiges irgendwas“ gilt. Wenn das irgend etwas bedeutet, dann ist
diese Adresse also – aus welchen Gründen auch immer – gespooft.
Damit hat sie noch weniger Aussagekraft. Jedenfalls gehört es bei
jeder anständigen Firewall geblockt. Aber ohne dabei auf die Hupe zu
drücken!

http://www.iana.org/assignments/ipv4-address-space

Gruß

Fritze

pumpkin_1768a9 · 23. März 2007 um 10:31

Moien

Wobei das 5.0.0.0/8 Class A von IANA derzeit als „reserviert
für
zukünftiges irgendwas“ gilt. Wenn das irgend etwas bedeutet,
dann ist
diese Adresse also – aus welchen Gründen auch immer –
gespooft.

Ups, hatte die IP gar nicht so genau angekuckt. Dann ist es Scan aber noch viel sinnfreier, weil die Antworten eh nicht wirklich geroutet werden können.

Dass ISPs so eine IP überhaupt in einer Richtung durchlassen …

cu

Hinterw_ldler_37172f · 23. März 2007 um 11:26

Hallo Fritze

Wobei das 5.0.0.0/8 Class A von IANA derzeit als „reserviert
für
zukünftiges irgendwas“ gilt. Wenn das irgend etwas bedeutet,
dann ist
diese Adresse also – aus welchen Gründen auch immer –
gespooft.
Damit hat sie noch weniger Aussagekraft. Jedenfalls gehört es
bei
jeder anständigen Firewall geblockt. Aber ohne dabei auf die
Hupe zu drücken!

Nichts gegen deinen Enthusiasmus für eine Software, die AFAIK prinzipbedingt nicht funktionieren kann und darum wirst du uns auch erklären, warum dies geschehen soll und wie man es anstellt. Was macht eine PFW vorteilhafter gegenüber einer Deaktivierung aller nicht benötigten Dienste (service) und der damit verbundenen automatischen Schließung der gefährdeten Ports. Warum sollen schon geschlossene Ports noch geschützt werden? Welche Vorgänge im Internet zwingen mich dazu? Weißt du überhaupt, was ein Port ist und welche Eigenschaften er hat?

Vergleiche deine Argumentation für die PFWs mit der international anerkannten FAQ bei http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html, den umfassenden Erläuterungen in http://ulm.ccc.de/PersonalFirewalls und in anderen Quellen wie zum Beispiel http://www.ntsvcfg.de/linkblock. Immerhin werden beide ersteren Pagen von anerkannten Fachleuten gepflegt. Falls du andere Erkenntnisse hast, dann erstelle eine alternative Seite im Internet und bringe sie hier oder in den NGs zur Diskussion.

Sicherheitskonzepte, welche eine „Firewall“ zum Inhalt haben, werden hier bei http://entwickler.de/zonen/portale/psecom,ps_lo,80,i… vorgestellt. Während der fast 100 Beiträge habe ich nicht ein einziges Wort über eine sinnvollen Einsatzmöglichkeit von PFWs gefunden. Wirst du uns bitte über alles aufklären? Falls es dir gelingen sollte, werde ich sogar meine Abneigung überwinden und eine PFW bei mir installieren. Möglicherweise hast du auch eine völlig neue Theorie über das bedeutungslose Hintergrundrauschen im Internet. Ich bin gespannt wie der Regenschirm von Avira.

der hinterwäldler

–
hat neben WindowsXP-Home SP2 mit allen Fixes, Patches
und Updates sowie FF&TB, jedoch ohne On-Demand-Scanner
und spezieller PFWs, dafür aber mit dem kostenlosen
Paragon DriveBackup 7.5, auch Linux Suse 10.1 auf seiner
Festplatte installiert. Er war deswegen im w-w-w schon
ohne Widerspruch anderer Leser, fundamentalistischer
Taliban und kürzlich erst wieder: Windows-Hasser )))

Hinterw_ldler_37172f · 23. März 2007 um 11:33

Moien

Was muß ich noch tun, das Ironie-Tags als solche auch wahrgenommen werden?

der hinterwäldler

Malte_4b1c84 · 23. März 2007 um 11:45

Wobei das 5.0.0.0/8 Class A von IANA derzeit als „reserviert für
zukünftiges irgendwas“ gilt. Wenn das irgend etwas bedeutet, dann ist
diese Adresse also – aus welchen Gründen auch immer – gespooft.
Damit hat sie noch weniger Aussagekraft. Jedenfalls gehört es bei
jeder anständigen Firewall geblockt. Aber ohne dabei auf die
Hupe zu drücken!

Nichts gegen deinen Enthusiasmus für eine Software, die AFAIK
prinzipbedingt nicht funktionieren kann und darum wirst du uns
auch erklären,

Weißt Du, was reservierte Netze sind?
Wo bezieht sich Fritze auf „Personal Firewalls“?
Wie kommst Du darauf, dass er von einer Software sprach?
Wie kommst Du darauf, dass Firewalls prinzipbedingt nicht funktionieren?
Wieso masst Du Dir an, ihm vorschreiben zu wollen, was er zu tun hat?
Wieso kommt da immer nur derselbe Sermon, ohne erstmal darüber nachzudenken ob das überhaupt grad passt?

.m

Malte_4b1c84 · 23. März 2007 um 11:46

Moien

Was muß ich noch tun, das Ironie-Tags als solche auch
wahrgenommen werden?

Irgendwelche Tags interessieren mich nur peripher. Ich hab nach Ironie gesucht, aber keine gefunden.

.m

shuber2 · 23. März 2007 um 13:04

Mehr über Personalfirewalls erfährst du auf der Page der
Leute, vor denen dich dieses Dings ursprünglich schützen
sollte http://ulm.ccc.de/PersonalFirewalls

Und wie sollen PFW von „diesen Leuten“ schützen?

Quintar · 23. März 2007 um 15:20

Nicht „von“ sondern „vor“ „diesen Leuten“, welche im allgemeinen Sprachgebrauch „Hacker“ genannt werden aber eigentlich Cracker heissen würden wenn sie da smachen würden weswegen man sie beshculdigt. (ja isn wenig komplizierter)

Mehr über Personalfirewalls erfährst du auf der Page der
Leute, vor denen dich dieses Dings ursprünglich schützen
sollte http://ulm.ccc.de/PersonalFirewalls

Und wie sollen PFW von „diesen Leuten“ schützen?

Fritze · 23. März 2007 um 19:26

Hallo Hinterwäldler,

Nichts gegen deinen Enthusiasmus für eine Software, die AFAIK
prinzipbedingt nicht funktionieren kann

Keine Ahnung. Frag mal bei [email protected].

Was macht eine PFW vorteilhafter

Ich sprach hier nicht von „personal Firewalls“, auch wenn Du das hier stets reflexartig unterstellst.

Ich finde es ja toll, wenn ältere Menschen sich mit moderner Technik auseinandersetzen, Rentner am Rechner und so. Aber warum denke ich bei Deinen Beiträgen stets, dass da eher der Altersstarrsinn als die Altersweisheit spricht?

Gruß

Fritze

shuber2 · 24. März 2007 um 11:43

Nicht „von“ sondern „vor“ „diesen Leuten“, welche im
allgemeinen Sprachgebrauch „Hacker“ genannt werden aber
eigentlich Cracker heissen würden wenn sie da smachen würden
weswegen man sie beshculdigt. (ja isn wenig komplizierter)

Ja, auch ich habe phrack #7,3 gelesen. Ich meinte aber: Welche Eigenschaft besitzt eine PFW, sodass sie uns vor „diesen Leuten“ schützt? Oder konkreter: Warum schützt das Schließen von Ports gegen diese Angriffe? Denn wenn ich einen Service unzugänglich machen will, dann beende ich diesen. Wenn ich will, dass er offen ist, kann ich ihn nicht mit einer FW schließen.

Wavor schützt also eine PFW in Bezug auf „diese Leute“?

Quintar · 26. März 2007 um 11:07

Wavor schützt also eine PFW in Bezug auf „diese Leute“?

Ich glaube die Antwort war tatsächlich „garnicht“.
Weil wie du bereits gesagt hast: Wenn ichned will da sProggies auf Ports zugreifen beende ich alles was diese Port benutzt.

ABER:
Was wenn ich das Programm brauche?
ODER Wenn ich das Programm nur einer IP-Adresse zulassen will?
ODER ich nicht weis das das Programm einen Port nach aussen öffnen will (siehe fast jedes M$-Proggie oder vom „DAU“ installierte Software)
ALSO: wer weniger als der Durchschnits W-W-W-ComputerforumsLeser sich mit PCs auskennt ODER spezielle anforderungen hat, sollte oder besser kann eine PFW einsetzen.

shuber2 · 26. März 2007 um 16:47

ABER:
Was wenn ich das Programm brauche?

Wenn du das Programm benötigst, dann kannst du den Port ohnehin nicht sperren.

ODER Wenn ich das Programm nur einer IP-Adresse zulassen will?

Für Verkehr herein: Gut, hört sich sinnvoll an. Auch wenn ich jetzt nicht weiß, welchen Port ich filtern sollte. Denn ssh, apache, postgres oder smb wird nur aufgemacht, wenn ich es benötige. Und selbst dann habe ich keine Bedenken - sonst würde ich den Service nicht betreiben
Für Verkehr hinaus: Warum sollte ich das wollen? Wenn ich mich vor MS schützen will geht das aus mehreren Gründen nicht:
Kommunikation lässt sich mit legalem Verkehr mitschleusen
Wieso soll ich glauben, dass eine PFW von irgendwen außer MS
die API von MS filtern kann?

ODER ich nicht weis das das Programm einen Port nach aussen
öffnen will (siehe fast jedes M$-Proggie oder vom „DAU“
installierte Software)

Warum soll ich Programme installieren, denen ich unterstelle,
dass die sich unerlaubt nach außen verbinden?
netstat
Hilft eine PFW dem DAU?

Für gewöhnlich ist es bei den PFW a la Zonealarm so, dass der User ohnehin alles bestätigt, da sonst der IE nicht mehr gehen könnte oder die Mails plötzlich nicht mehr abgerufen werden können.

Wie du gesagt hast: Wenn man nicht gerade eine Durschnittsuser ist, kann es durchaus Sinn machen. Etwa:

Man betreibt einen Gateway und will bestimmte Services nicht nach außen lassen (file sharing etwa oder content filtering)
Man will Netzverkehr routen weil man einen Gateway betreibt, oder ein virtualisiertes OS laufen hat oder…
Man will traffic shaping betreiben

Letztendlich ist aber eine PFW nur sehr bedingt für den „Schutz“ zweckmäßig und schon gar nicht für den Schutz von Nicht-Experten. Doch glaube ich, dass ich/wir vom Thema begekommen sind. Denn was mich manchmal ärgert ist, dass eine PFW als Standardwaffe gegen Sicherheitsprobleme verargumentiert wird und unterm Strich aber nur das Gewissen bereinigt. Und auf gar keinen Fall vor „solchen Leuten“ schützt.

mfg,
korn