PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ich hab' da wieder mal ne' Frage...



Sven Udo
13.08.2005, 23:01
Ich hab' da wieder mal ne' Frage... :depp:
Selbt auf die Gefahr hin, ausgelacht zu werden, frage ich trotzdem:
Was ist "IMHO" = eine Abkürtzung OK, aber wie kann ich sie lesen?

Danke für die Antwort: [...............] :)

Nebelwolf †
13.08.2005, 23:18
Hallo!


imho

"in my humble opinion" („meiner bescheidenen/unmaßgeblichen Meinung nach“)

Gefunden bei Wikipedia: http://de.wikipedia.org/wiki/Netzjargon

Nebelwolf

Sven Udo
13.08.2005, 23:55
Hallo!
Gefunden bei Wikipedia: http://de.wikipedia.org/wiki/Netzjargon

@Nebelwolf, Danke! Auf wikipedia hätte ich selbst kommen sollen! Hab's in meinen "Bookmarks" extra abgespeichert! Der - mein - Deppenalarm, war also berechtigt :o ...

Sven Udo
04.11.2005, 03:47
:confused: Ich hab' da wieder mal ne' Frage...*physics*

Mein Firewall hat mir folgendes gemeldet (und natürlich unterbunden):

Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt, dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt.

Die Paketdaten werden im rechten Fenster angezeigt.

0000: 00 10 DC C2 02 28 00 10 : DC C2 02 28 08 06 00 01 | .....(.....(....
0010: 08 00 06 04 00 02 00 10 : DC C2 02 28 A9 FE 7C 08 | ...........(..|.
0020: 00 10 DC C2 02 28 A9 FE : 7C 08 | .....(..|.

Von Remote Host:169.254.124.8-169.245.255.255
Angesprochen Lokal Host: 137-138

Was "darf" ich mir daruter IT-technisch" vorstellen?

corlis
04.11.2005, 10:01
Da versucht einer, dein "Windows-Netzwerk" anzugreifen. Denke allerdings, dass nicht direkt du persönlich angegriffen wurdest, sondern eher versucht wurde, evtl. einen Bot zu droppen, o.ä...

cycomate
04.11.2005, 12:26
ARP == Address Resolution Protocol. Damit werden IP Adressen zu MAC Adressen aufgelöst, üblicherweise passiert das innerhalb einer Broadcastdomäne, also nur bis zum nächsten Router oder der nächsten Bridge bzw. dem default gateway.
Rechner A (192.168.0.1) fragt

arp who-has 192.168.0.99 tell 192.168.0.1 per ARP-Broadcast alle Rechner der Broadcastdomäne. Rechner B mit der IP 192.168.0.1 fühlt sich angesprochen und schickt

arp reply 192.168.0.99 is-at xx:xx:xx:xx:xx:xx und vice-versa.
Alle weitere Kommunikation zwischen den beiden läuft dann über die MAC Adresse ab.

Ist jetzt ein Rechner nicht in der Broadcastdomäne, sieht das ganze theoretisch so aus:

arp who-has www.antispam.de tell 192.186.0.1 praktisch allerdings wird der Rechner A die Anfrage gar nicht erst rausschicken, weil er weiß, daß das Ziel nicht in der eigenen Broadcastdomäne ist (ergibt sich aus Netzwerkadresse und Subnetzmaske) und demnach auch keine Antwort erwarten kann.
Statt dessen wird das default gateway bemüht, im Beispiel mal 192.168.0.254:

arp who-has 192.168.0.254 tell 192.168.0.1 etc. pp.

ARP-Anfragen oder -Antworten von Außerhalb sind bei Dialupleitungen nicht sinnvoll, denn der Einwahlrechner (sprich: Dein Router oder default gateway) kennt über die Dialupleitung nur seinen peer. Kommen aber trotzdem ARP-Anfragen oder -Antworten über die Dialupleitung herein, so versucht wohl jemand, sich in den internen Datenverkehr einzuklinken, indem er vorgaukelt, er sei im internen Netz, um die Firewallrestriktionen zu umgehen - oder: er gibt sich gegenüber zwei Rechnern als der jeweilige Kommunikationspartner aus, Rechner A glaubt, er spricht mit Rechner B, spricht aber in Wirklichkeit mit Rechner C, der die Pakete dann an B weiterleitet und vice versa. Hier spricht man von einer man-in-the-middle-attack.

(edit, nachdem ich Dein Post mal genauer angesehen habe)
In Deinem Fall versucht offenbar ein Wurm auf Deine Windowsfreigaben zuzugreifen, etwa um sich auf die Platte zu spielen. Die ARP response wurde mitgesendet, damit Dein Rechner glaubt, die Anfrage käme von einem "vertrauenswürdigen" Rechner innerhalb des LANs.

Angaben ohne Gewähr, bin heute früh aufgestanden ;)

corlis
04.11.2005, 14:08
Angeber! :)

Sven Udo
04.11.2005, 18:29
@corlis :wink:
@cyco :wink:

Danke für Eure ausfühlichen Antworten!
Nu' verstehe ich das Ganze schon viel besser.
Was aber am wichtgsten ist, meine Sicherungssyteme
haben richtig reagiert!
Und somit konnte keinen Schaden angerichtet werden.
:erledigt:

corlis
05.11.2005, 12:02
Was aber am wichtgsten ist, meine Sicherungssyteme
haben richtig reagiert!
Und somit konnte keinen Schaden angerichtet werden.
:erledigt:

Das weiß man nicht immer so genau. Das hängt letztlich davon ab, ob nur ein Wurm versucht hat, sich zu vermehren, oder ob ein etwas direkterer Angriff erfolgte. Solche automatisierten "Angriffe" gehen oft verschiedene bekannte Möglichkeiten durch, wie ein Ziel "eingenommen" werden kann - ist quasi oft eine Belagerung deiner grad aktuellen IP-Adresse.

Kann manchmal schön nerven, wenn einem kilometerweise logfiles zugemüllt werden.

Kleiner Tipp, wenn man ne Dialup-Leitung besitzt: Wirds bisserl bunt, die Firewall meldet sich, Router und Modem für ne Minute ausschalten, testen ob man danach ne andere IP bekommen hat. Wird dann wieder viel gemeldet, ist es sehr ratsam, seinen eigenen Rechner mal ordentlich extremst durchzuprüfen - am besten mit einer Boot-CD mit aktuellen Viren- und sonstigen Scannern.

Sven Udo
05.11.2005, 20:08
Nach dem "...-Spoofing" reagiert mein System sofort.
Und atwortet dann wie folgt:

Aktive Antwort = Traffic von IP-Adresse 169.254.124.8 ist blockiert von 11/05/2005 xx:xx:xx bis 11/05/2005 xx:xx:xx.

Active Antwort, welche bei 11/05/2005 xx:xx:xx startet ist ausgelöst. Der Traffic von IP-Adresse 169.254.124.8 wurde für 600 Sekunden blockiert.

Diesmal (wie früher auch) war das Problem damit gelöst. Zumal Lavasoft Plus mit "Ad-Watch+hoher Echtzeitgenauigkeit" im Hintergrund läuft. dazu ein Antivir Guard, auch in Echtzeit.

Goofy
05.11.2005, 21:21
Es ist auch immer hilfreich, auf die Dateifreigaben für die Laufwerke zu achten.
Wenn man Filesharing nicht benötigt und kein Netzwerk aus mehreren verbundenen Heim-PCs hat, kann man sämtliche Dateifreigaben sperren (rechte Maustaste auf Laufwerksymbol, Eigenschaften, Freigabe...).
Sinnvoll ist auch, einen Windows-Zugang mit eingeschränkten Benutzerrechten einzurichten, der dann fürs Internetsurfen benutzt wird. Mit diesem Zugang können dann keine Programme installiert werden, und viele Betriebssystemfunktionen lassen sich blockieren. Auch hier wieder ein Zusatzschutz.

Stalker2002
06.11.2005, 03:57
Sinnvoll ist auch, einen Windows-Zugang mit eingeschränkten Benutzerrechten einzurichten, der dann fürs Internetsurfen benutzt wird.

Noch Sinnvoller ist es, als Surf-OS eine Live-CD zu benutzen. Da kann dann wirklich kaum noch was anbrennen und das auch bestenfalls auf der RAM-Disk, deren Inhalt beim runterfahren nach /dev/null verschoben wird.

Als Kür kann man sich ja eine Live-CD kochen, die eine Virtual Machine mit Windoze-Inside mitbringt. Da kann man auch ruhig mal einen Schädling unter Aufsicht spielen lassen und lernt noch was dabei.:D

MfG
L.

corlis
06.11.2005, 10:34
Die Idee mit dem "Windows im Käfig" ist sehr gut, allerdings nicht sonderlich leicht einzurichten - und in vielen Fällen einfach unpraktikabel - aber wers versuchen möchte, hier gibts eine Auswahl an VM's (Einrichten etc. garantiert NICHTS für Anfänger):

http://www.thefreecountry.com/emulators/pc.shtml

Zum Thema der Windows-Firewalls - hier gilt dasselbe wie für spamfilter: Sie sind immer nur so gut, wie die Regeln, auf denen sie beruhen. 100%-igen Schutz können in manchen Fällen auch sie nicht bieten. Eine falsche Regel reicht aus, um die komplette Firewall undicht zu machen, deshalb auch hier der Tipp: Regelmäßig nachschauen, welche Programme etc. von der Firewall ohne Probleme durchgelassen werden. Auch den Router (falls vorhanden) sollte man regelmäßig einer solchen Überprüfung unterziehen - und falls vorhanden, im Router die Firewall auch anschalten...

Sven Udo
06.11.2005, 18:58
@ all :) Danke für alle guten Hinweise!

Zum besseren Verständnis:
Ich habeT-DSL Einzelverbindung mit DSL-Modem & DSL-Splitter (T-Com).
Da es keine DFÜ- Verbindung gibt, hätten Dailer und Co. keine Chance.

Und der Firewall ist so "eigestellt", daß erst einmal ALLES geschlossen ist.
Einge wenige Ports z.B. sind unter Kontrolle passierbar.
Alles weitere (ankommend oder abgehend) muss Nachfragen.

Darüber hinaus, gibt es keine Cookies bei mir.
Selbst "Anitspam.de" bekommt von "mir" nur Cookies vorgespielt!
Es ist eine Datenschutz-Konfigurationsdatei installiert:
Datenschutz-Jap TU Dresden (http://anon.inf.tu-dresden.de/ie_privacy_file.xml) ;)