tracer hat geschrieben:Auf Layer 3 siehst Du keine MACs mehr.
Das ist korrekt wenn man die ISO/OSI Layers autark und abstrakt betrachtet. In der Praxis kann man wohl MAC Adressen encapsulated in einem Layer 3 Packet sehen, aber das macht kein Weblog fuer einen, das "sieht" nur IP Adressen.
Nur in einem Netwerksegment waere es moeglich die MAC Adressen per RARP praktischerweise herauszufinden. Natuerlich auch darueber hinaus wenn man auf die weiteren Layer 2 Netzwerk Segmente auch Zugriff hat aber bei einem Angriff aus dem Internet ist es sehr sehr schwierig IP Adressen auf MACS zu matchen und MACS sind leider auch zu "faken" , siehe Windows Tool MACmakeup
(
http://www.gorlani.com/publicprj/macmak ... makeup.asp )
Unter Linux einfach per "ifconfig".
Never mind, denke Ich es bleibt ein Restrisiko bei Tracers Vorgehen aber bei einem akuten Angriff wuerde Ich diese Vorgensweise vorziehen anstatt sich den Server von einem (wie in diesm Beispiel) Botzombie "runterbomben" zu lassen. Auf Dauer hilft da nur ein sehr cleveres IDS mit active FW Management (proactive IDS, Intrusion Prevention etc.) aber nur wenn das Design auch wirklich den Anforderungen entspricht.
Ins Blaue hinein jeden vermeidlichen Angriff gleich per Software in eine aktive Veraenderung der Firewall Konfiguration enden zu lassen, kann fatale Folgen haben. Dies gilt insbesondere bei grossen Serverfarmen und dazugehoerigen Perimeters, die dann auf einen Schlag von der Aussenwelt (z.B. Internet) "ausgesperrt" werden.
Dazu eine nette Story am Rande:
Wir hatten mal auf dem Zoom Server eine Datei "Allairplanesplan.zip" ( Apache Miskonfiguration mit Directory listing erlaubt etc
). Das waren alles RC Flugmodell Plaene. Ein taiwanesisches (Militaer-, Regierungs- ?) Botnetzwerk hat ueber 1-2 Tage lang versucht diese Datei (ca. ein halbe Gig gross !) runterzuladen. Da die bots nicht miteinander kommunizierten und Ich den Angriff manuell abwehrte kamen immer mehr von den Bots. Bis Ich herausfand welche Datei sie eigentlich wollen hatte ich unzaelige Stunden damit verbracht manuell IP Adressen zu blocken. Die Bandbreite ging drastisch durch die Downloads runter und die nahezu 100 MBit/s upstream (!!) Anbindung schrumpfte zusehends durch die ~Tausende von Bots
Es war ein wunderschoener Samstag mit blauem Himmel und Ich habe dann irgendwann auch mal Schluss gemacht. Als Ich heimkam sah Ich keine andere Moeglichkeit mehr als komplette class A Netzwerke zu sperren. Ich denke wir haben damals ganz Taiwan und China etc ausgesperrt
In diesem Falle haette Ich besser auch ein Script verwenden sollen.
Tracer, wenn das Script fertig ist sende es mir doch bitte per email.
Gruesse
... allerdings, was machst du, wenn per Script verschiedene Sender-IPs eingestellt werden ? Vielleicht sollte ich doch mal mod_perl installieren bzw. nen Apache-Script schreiben. - jenachdem, was das mod_security macht.
Werbung
PayPal-Spenden
