LX-Ben
16.08.03, 22:17
Meine Selbstkritik meldet sich beim Schreiben "Das hat doch nichts mit
Tipps+Tricks zu tun", und da bin ich mit meinem anderen ich mal der
gleichen Meinung. Doch am Beispiel des unnütz vom Blaster-Wurm
verursachten Traffics gibt es evtl. Umsteigern Mut, in eigene Analysen
einzusteigen, da alle nachstehenden Ergebnisse durch Befehle bytegenau
und somit nachvollziehbar für den eigenen PC eingegeben werden können.
0. Da die Auswertung dem Chef (root) vorbehalten ist, muss die Konsole
gestartet und dann 'su' eingegeben werden. Voraussetzung ist natürlich
eine aktivierte Firewall, am Beispiel SuSE-Firewall2.
1. Der HEUTIGE Auszug aus /var/log/messages ist interessehalber als Anhang
'FW_messages.txt' beigefügt, weil der Beitrag sonst zu unübersichtlich würde.
Und soll Appetit geben, mal selbst etwas zu stöbern.
2. Die Gesamtzahl der HEUTE selektierten verworfenen FW-DROP-Datensätze
betrug in 57,3 Minuten 53 Stück -
eine erstaunliche Menge für einen stinknormalen PC mit Modem:
Ermittelt mit 'cat /var/log/messages | grep -c DPT='
[-c=count, DPT=Zielport auf dem lokalen PC]
Vom 05.08.-16.08.03 betrug die Gesamtsumme meiner Internet-Minuten
6002 [grep 'Connect time' plus Taschenrechner] mit NUR 858 verworfenen
[DROP-]Paketen gleich durchschnittlich 8,2 DROPs pro 57,3 Minuten.
Werden davon die DPT=13 - Datensätze abgezogen (geblockte Zugriffe, die
nicht auf Ports 135, 137 zielten =633), so bleibt ein 'Normaler Schnitt'
von 2,25 pro Stunde durch Script-Kiddies und 'Marketing-Forscher'
übrig. Wie ich auf die Menge 633 gekommen bin? ..messages filtern mit
cat /var/log/messages | grep DPT= | grep -c DPT=13
[alle DROP-Meldungen ermitteln, daraus die -contrary-DROPs ausfiltern,
dh. die, die nicht DPT=13 enthalten]. Übung macht den Meister.
3. Die Einzelbetrachtung zeigt, dass Blaster sich aktuell erst richtig
austobt - siehe 48 HEUTIGE Zugriffsversuche auf meinen per SuSE-Firewall2
geblockten Server in 57,3 Min. Im Durchschnitt vom 05.08.-16.08.2003
erfolgten nur 6,3 solcher Zugriffe pro Stunde (633/6002 InternetMinuten).
Ergo - ich bin erstmal zufrieden mit SuSE-Firewall2, auch wenn ich noch
viel mehr Details verstehen möchte.
48-mal DPT=135, 137 geblockte Zugriffsversuche auf lokalen Server
[.. greb DPT=13]
-3-mal DPT= 80 ... geblockte Zugriffsversuche auf lokalen HTTP-Server
-2-mal DPT=1433 .. Neuer Trojaner? evtl. normaler Scanversuch:
57,3 InternetMinuten sind für Trojaner-Versuche nicht repräsentativ genug.
Wer Internet-by-Call betreibt und die Kosten überwachen möchte,
wird mit dem Befehl
cat /var/log/messages | greb "Connect time"
fündig. Evtl. nicht so komfortabel wie bei WinSpy, aber solide.
-------------------
Konstruktive Kritik und/oder Ergänzungen sind ausdrücklich erwünscht.
Test- und Schreibzeit rund 2:30 Stunden - dh. kein Quicky mehr. Mfg
===================
Tipps+Tricks zu tun", und da bin ich mit meinem anderen ich mal der
gleichen Meinung. Doch am Beispiel des unnütz vom Blaster-Wurm
verursachten Traffics gibt es evtl. Umsteigern Mut, in eigene Analysen
einzusteigen, da alle nachstehenden Ergebnisse durch Befehle bytegenau
und somit nachvollziehbar für den eigenen PC eingegeben werden können.
0. Da die Auswertung dem Chef (root) vorbehalten ist, muss die Konsole
gestartet und dann 'su' eingegeben werden. Voraussetzung ist natürlich
eine aktivierte Firewall, am Beispiel SuSE-Firewall2.
1. Der HEUTIGE Auszug aus /var/log/messages ist interessehalber als Anhang
'FW_messages.txt' beigefügt, weil der Beitrag sonst zu unübersichtlich würde.
Und soll Appetit geben, mal selbst etwas zu stöbern.
2. Die Gesamtzahl der HEUTE selektierten verworfenen FW-DROP-Datensätze
betrug in 57,3 Minuten 53 Stück -
eine erstaunliche Menge für einen stinknormalen PC mit Modem:
Ermittelt mit 'cat /var/log/messages | grep -c DPT='
[-c=count, DPT=Zielport auf dem lokalen PC]
Vom 05.08.-16.08.03 betrug die Gesamtsumme meiner Internet-Minuten
6002 [grep 'Connect time' plus Taschenrechner] mit NUR 858 verworfenen
[DROP-]Paketen gleich durchschnittlich 8,2 DROPs pro 57,3 Minuten.
Werden davon die DPT=13 - Datensätze abgezogen (geblockte Zugriffe, die
nicht auf Ports 135, 137 zielten =633), so bleibt ein 'Normaler Schnitt'
von 2,25 pro Stunde durch Script-Kiddies und 'Marketing-Forscher'
übrig. Wie ich auf die Menge 633 gekommen bin? ..messages filtern mit
cat /var/log/messages | grep DPT= | grep -c DPT=13
[alle DROP-Meldungen ermitteln, daraus die -contrary-DROPs ausfiltern,
dh. die, die nicht DPT=13 enthalten]. Übung macht den Meister.
3. Die Einzelbetrachtung zeigt, dass Blaster sich aktuell erst richtig
austobt - siehe 48 HEUTIGE Zugriffsversuche auf meinen per SuSE-Firewall2
geblockten Server in 57,3 Min. Im Durchschnitt vom 05.08.-16.08.2003
erfolgten nur 6,3 solcher Zugriffe pro Stunde (633/6002 InternetMinuten).
Ergo - ich bin erstmal zufrieden mit SuSE-Firewall2, auch wenn ich noch
viel mehr Details verstehen möchte.
48-mal DPT=135, 137 geblockte Zugriffsversuche auf lokalen Server
[.. greb DPT=13]
-3-mal DPT= 80 ... geblockte Zugriffsversuche auf lokalen HTTP-Server
-2-mal DPT=1433 .. Neuer Trojaner? evtl. normaler Scanversuch:
57,3 InternetMinuten sind für Trojaner-Versuche nicht repräsentativ genug.
Wer Internet-by-Call betreibt und die Kosten überwachen möchte,
wird mit dem Befehl
cat /var/log/messages | greb "Connect time"
fündig. Evtl. nicht so komfortabel wie bei WinSpy, aber solide.
-------------------
Konstruktive Kritik und/oder Ergänzungen sind ausdrücklich erwünscht.
Test- und Schreibzeit rund 2:30 Stunden - dh. kein Quicky mehr. Mfg
===================