Zum Inhalt springen

Ping Reply sperren, WIE?

dummabua

Von dummabua
in Security

 Teilen

Empfohlene Beiträge

dummabua

dummabua

Geschrieben
Geschrieben

HI,

Ich will das wenn jemand meinen Rechner im internet pingt, eine Zeitüberschreitung bekommt. Ich habe versucht mit meiner Tiny Personal Firewall Vers. 4.5 per Firewall den Ping zu sperren, was aber nicht ging, da ich betreffenden ICMP Traffic über den port nicht in einer Firewall regel denyen kann. Ich habe auch versucht das Programm ping.exe, welches für die anfrage an andere clients verantwortlich ist, den (nur testweise) den in und outbound zu sperren. kEIN ERFOLG

Dahh hatte ich die Idee, das über die Intrusion Detection zu sperren, und zwar indem ich einfach eine Ping.rule erstellt habe, in der ich ankommende packete ICMP über betreffende ports über einer grösse von 0 byte verwerfe bzw nicht beachte, hat auch nicht funktioniert. steh ich momentan auf der leitung? oder mach ich einen gravierenden fehler, was ich nicht hoffe

:(

merci dominik

Link zu diesem Kommentar
Auf anderen Seiten teilen
Terran Marine

Terran Marine

Geschrieben
Geschrieben
Original geschrieben von dummabua

HI,

Ich will das wenn jemand meinen Rechner im internet pingt, eine Zeitüberschreitung bekommt. Ich habe versucht mit meiner Tiny Personal Firewall Vers. 4.5 per Firewall den Ping zu sperren, was aber nicht ging, da ich betreffenden ICMP Traffic über den port nicht in einer Firewall regel denyen kann./B]

Hallo,

warum kannst du ICMP Traffic nicht per Firewall blocken ?

Sollte das nicht ein Standard-Feature sein ?

Gruß

Terran Marine

Link zu diesem Kommentar
Auf anderen Seiten teilen
dummabua

dummabua

Geschrieben
  • Autor
Geschrieben

es gibt eine ICMP outbound regel, die ich aber nicht anwenden kann und

ich kann mir auch selber eine erstellen, in der ich ICMP 0 und 8 sperre (was auch intern ich der Firewall als "ping" betitelt ist), ich kann diese Regel nur nicht anwenden (oder ich hab noch nicht herausgefunden, wie). Nun bin ich ratlos, ich kann mir auch ned vorstellen das man damit keinen Ping Reply blocken kann, weil das sollte wirklich zum standart gehören:rolleyes: aber ich bin mir fast sicher das es irgendwo geht, nur ich dachte vielleicht, das ich irgendwo einen denkfehler drin hätte oder einen logik fehler oder so...

PS: Wenn ich mich selber pinge, bekomm ich ned mal ne Firewall meldung das mich jemand pingt, also muss ich doch davon ausgehen, das es da schon eine regel gibt, in der der Reply allowed wurde oder? oder ist der eiegen Ping ein sonderfall udn ich sollte mal einen freund beauftragen mich zu pingen, vielleicht schlögt die firewall da an...

Link zu diesem Kommentar
Auf anderen Seiten teilen
Terran Marine

Terran Marine

Geschrieben
Geschrieben
Original geschrieben von dummabua

PS: Wenn ich mich selber pinge, bekomm ich ned mal ne Firewall meldung das mich jemand pingt, also muss ich doch davon ausgehen, das es da schon eine regel gibt, in der der Reply allowed wurde oder? oder ist der eiegen Ping ein sonderfall udn ich sollte mal einen freund beauftragen mich zu pingen, vielleicht schlögt die firewall da an...

Das "selber pingen" müsste ein Sonderfall sein,

der Verkehr auf localhost wird und muss in der Regel nicht geblockt werden.

Also mal den Kumpel fragen ...

Gruß

Terran Marine

Link zu diesem Kommentar
Auf anderen Seiten teilen
Terran Marine

Terran Marine

Geschrieben
Geschrieben
Original geschrieben von dummabua

du sagst "müsste" also weisst du es selber nich 100%tig genau?:confused:

kennst du oder wer anders eine quelle wo das stehen könnte oder weiss es jemand SICHER ob localhost anders gehandelt wird als richtiger traffic.

Es macht keinen Sinn auf dem localhost Traffic zu sperren, deswegen "nehme ich an" das auch Tiny diese Einstellung hat.

Du kannst es ja ziemlich leicht selbst ausprobieren, indem du versuchst auf eigene Ressourcen zuzugreifen und die Firewall beobachtest.

Gruß

Terran Marine

Link zu diesem Kommentar
Auf anderen Seiten teilen
Biotecs

Biotecs

Geschrieben
Geschrieben

Hi,

ich weiß jetzt leider auch nicht wo der Echo Dienst bei dir ist, ich könnte dir nur sagen wie man das unter Linux macht, aber das ist nicht Frage des threads.

Mich würde nur interessieren, was du denn damit erreichen möchtest, wenn du ICMP sperrst? Denn wie schon gesagt wurde, weiß trotzdem jeder, daß du da bist. Soll kein Vorwurf sein, sondern nur reine Neugier, vielleicht haste ja nen bestimmten Grund.

mfg

Link zu diesem Kommentar
Auf anderen Seiten teilen
dummabua

dummabua

Geschrieben
  • Autor
Geschrieben

die frage hast du dir selber beantwortet:D

"...sondern nur reine Neugier, vielleicht haste ja nen bestimmten Grund."

Die Neugier is es! auserdem lernt man was dabei. Und wenns mal wieder jemand wissen will, dan kann ich sagen: dummabua hat gemacht:mod:

Leider bin ich so ergeizig, das ich nicht aufhöre was zu probieren bis es klappt, darum dieser post:rolleyes: .

Es is "nur" zum Verständniss und für mich selbst (die gewisseheit wieder etwas gelernt zu haben, wie oben erwähnt). Ich werd auch des wieder rückgängig machen wenn ich es geschafft habe. Is eigentlich "nur" Neugier.

Reicht das als Begründung;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
hades

hades

Geschrieben
Geschrieben

Ich habe das mal mit der aelteren Tiny Personal Firewall 2.0 auf Win2000 getestet. Die folgenden Regeln fuehrten zum gewuenschten Ergebnis ohne Einschraenkungen fuer das LAN und den Rechner:

Richtung: In-/Outbound Protocol: ICMP Type: all Address: <der verwendete LAN-Adressbereich> Action: Permit

Richtung: In-/Outbound Protocol: ICMP Type: all Address: 127.0.0.1 Action: Permit

Richtung: Outboud Protocol:ICMP Type: Echo Reply Address: any Action: Deny

Richtung: Inbound Protocol ICMP Type: Echo Request Address: any Action: Deny

Die Ping-Rueckmeldung ist der Nachrichtentyp Echo Reply und die Ping-Anfrage ist der Nachrichtentyp Echo Request vom ICMP.

Mit dem echo-Dienst bzw. -Programm hat die Ping-Rueckmeldung nichts zu tun. Zumindest kann ich auf meinem Win2000 Professional kein derartiges Programm bzw. Dienst entdecken und es funktioniert trotzdem.;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
DanielB

DanielB

Geschrieben
Geschrieben
Original geschrieben von DownAnUp

Das Programm bzw. der Dienst der auf Pings "antwortet" heisst "Echo". I.d.R. reicht es also einfach den Echo Dienst zu deaktivieren.

Ob das blocken von ICMP Sinn macht oder nicht ist sowieso eine endlose Diskussion... kannst dazu ja mal hier schauen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken

Das ICMP und 'ping reply' nichts mit echo zu tun haben hat Hades ja schon erwähnt. echo ist ein Dienst, der die von Dir gesendeten Daten zurücksendet. Du verbindest Dich z.B. über telnet mit dem echo port und tippt "Test" ein. Als Antwort erhählst Du "Test".

Das blocken von ICMP macht schon Sinn, es ist nur die Frage welche Typen geblockt werden sollen und welche eben nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen
nic_power

nic_power

Geschrieben
Geschrieben

Hallo,

Original geschrieben von DanielB

Das ICMP und 'ping reply' nichts mit echo zu tun haben hat Hades ja schon erwähnt. echo ist ein Dienst, der die von Dir gesendeten Daten zurücksendet. Du verbindest Dich z.B. über telnet mit dem echo port und tippt "Test" ein. Als Antwort erhählst Du "Test".

Der Dienst "echo" (http://www.faqs.org/rfcs/rfc862.html) arbeitet auf Basis von TCP oder UDP. ICMP-Echo ist hingegen direkter Bestandteil vom ICMP (Typ 0 für Reply bzw. Typ 8 für Request) . ICMP stellt ein eigenständiges Protokoll dar, welches nicht über UDP bzw. TCP arbeitet. Wenn Du diese Pakete filtern willst, sollte dies direkt auf der Firewall durch die entsprechenden Regeln erfolgen.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen
blackswordowner

blackswordowner

Geschrieben
Geschrieben

Hallöchen!!

Ich grübel die ganze Zeit darüber, warum man überhaupt ICMP-Meldungen blocken sollte?!

Sie sind ja gedacht, als diagnose werkzeug.

Und wenn sich da mal ein admin, der etwas testen will verschreibt, muß der auf nen Timeout warten...

Ich wäre eher für nen reject und nicht für droppen... Weiß net, ob es möglich ist mit tiny. kannst ja mal nachschauen und hast dann wieder etwas gelernt...

Gruß

BSO :marine

Link zu diesem Kommentar
Auf anderen Seiten teilen
DanielB

DanielB

Geschrieben
Geschrieben
Original geschrieben von nic_power

Hallo,

Der Dienst "echo" (http://www.faqs.org/rfcs/rfc862.html) arbeitet auf Basis von TCP oder UDP. ICMP-Echo ist hingegen direkter Bestandteil vom ICMP (Typ 0 für Reply bzw. Typ 8 für Request) . ICMP stellt ein eigenständiges Protokoll dar, welches nicht über UDP bzw. TCP arbeitet. Wenn Du diese Pakete filtern willst, sollte dies direkt auf der Firewall durch die entsprechenden Regeln erfolgen.

Nic

Ja,

aber was hat das mit meinem Beitrag zu tun ? :)

Link zu diesem Kommentar
Auf anderen Seiten teilen
DownAnUp

DownAnUp

Geschrieben
Geschrieben

Ähm... Das mit dem Echo ist mir jetzt ehrlich gesagt ziemlich peinlich. Das die antwort auf einen ICMP Echo Request ein ICMO Echo Reply ist war mir klar. Aber bis jetzt dachte ich wirklich das der Echo Service dafür da wäre... Aber Echo ist wirklich was anderes...

*sichindieeckestellundschäm*

Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 2 Wochen später...
beko

beko

Geschrieben
Geschrieben
Original geschrieben von blackswordowner

Hallöchen!!

Ich wäre eher für nen reject und nicht für droppen... Weiß net, ob es möglich ist mit tiny. kannst ja mal nachschauen und hast dann wieder etwas gelernt...

Keine Antwort ist eben auch eine Antwort ;)

Sowas ist eine enorme Hilfe um sich irgendwelche Scriptkiddies vom Hals zu halten die deine IP über ICQ/IRC oder sonstwas rausbekommen haben und nun ihre nervigen kleinen Tools auf dich ansetzen. Viel bleibt da dann gleich auf der Strecke wenn der Ping nicht geht ;)

Einige ganz phöse Jungs pingen auch einfach ins Blaue *tztztz*

Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben
Original geschrieben von beko

Viel bleibt da dann gleich auf der Strecke wenn der Ping nicht geht ;)

Was aber eigentlich ja nur wieder ein Zeichen ist, das da ein Rechner ist der den Ping "verschluckt". Falls da kein Rechner wäre würde eine Antwort kommen "Host not available" oder so. Da der Rechner aber da ist wird der Ping hingeleitet und erst dort einfach nicht beachtet.

Das ist wie wenn du dich verstecken willst und dich dafür hinter den Vorhang stellt. Du meinst du bist nicht sichtbar, aber der Vorhang ist eben ziemlich ausgebeult und ausserdem sieht man deine Schuhe ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
beko

beko

Geschrieben
Geschrieben

Deshalb schrieb ich auch dass keine Antwort auch eine Antwort ist.

Das unbedarfte Scriptkiddie ist jedoch i.d.R. nicht einmal in der Lage den Vorhang von der Tapete zu unterscheiden.

You see?

Link zu diesem Kommentar
Auf anderen Seiten teilen
hades

hades

Geschrieben
Geschrieben

Das soll hier keine Laberbude, warum und weshalb Ping gesperrt wird, werden. Auch ist nicht gefragt worden, ob REJECT oder DROP besser ist.

@Threadstarter:

Wenn Du noch mehr Fragen zu diesem Problem hast, melde Dich bei mir per PN.

~~~closed~~~

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast
Dieses Thema wurde nun für weitere Antworten gesperrt.
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...