Stefan,
anscheinen versucht jemand, dein IP-Adresse von au�en zu spoofen.
Er tut dies, indem er als Quell-IP seines Endes des TCP-IP-Socket
ein IP-Adresse aus deinem Netzwerk eintr�gt.
Was noch zu kl�ren w�re ist: was f�r logs sind das.
Kann man aus den Logs ersehen, ob er nur "versucht" hat, damit eine
Verbindung aufzubauen, oder ist ein Verbindungsversuch "gegl�ckt", d.h.
hat ein zweiseitiger Datenaustausch stattgefunden.
Grunds�tzlich werden solche Angriffe mit einer Firewall-Regel behoben:
Der Erste Eintrag eines jeden Firewall-Filters sollte eine Regel sein,
die verbietet, da� lokale IP-Adressen von au�en durch die Firewall
zugelassen werden.
Ist dein Class-C Netz zum Beispiel 192.168.1.0/24, so w�rde die Regel unter
Linux wiefolgt aussehen:
ipfwadm -I -a reject 192.168.1.0/24 -D 0.0.0.0/0 -v -n
Gleicherma�en sollte man auch den eigenen Mitarbeitern verbieten, solche
Spoofing-Angriffe zu t�tigen, und nur IP-Pakete mit Quelladressen aus dem
eigenen Netzwerk nach drau�en passieren lassen.
Hope that helps.
Oliver
> -----Original Message-----
> From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]]On
> Behalf Of Stefan Reinhardt
> Sent: Dienstag, 23. M�rz 1999 11:51
> To: Linux Liste
> Subject: An DNS-Profis/ Netzprofis (nochmal: In deutlich)
>
>
>
> Hallo Listenleser,
> habe leider schneller geschrieben als gedacht, oder umgekehrt??
>
> Also:
> Auf mein offizielles Netz (g�ltige IP's, Class C-Netz) greift ein
> unbekannter von au�en (S�dkorea oder sonstwo..., aber nat�rlich �bers
> Internet) zu. Meine Logs geben mir eine IP Adresse aus meinem
> eigenen Netz
> als Client an. Diesen Client habe ich aber nicht
> eingerichtet, es gibt ihn
> sogar definitiv nicht in unserem Netz (auch kein "b�ser" Mitarbeiter).
> Jetzt frage ich mich, wie kann dieser "Fremde" so tun als ob
> er aus meinem
> Netz kommt? Denn ich habe doch den Nameserver (auth). Und ich habe die
> Routen verteilt usw. --> Diese IP-Adresse darf absolut keinen
> R�ckweg im
> Internet bekommen.....wie kann so etwas dann doch passieren? Und viel
> wichtiger wie kann ich das verhindern.
> Sonst bringt mir die z.B. Anweisung deny !local nichts........
>
> Ich hoffe diesmal habe ich mich klarer ausgedr�ckt? Trotzdem
> erstmal Danke
>
> Gru� Stefan
>
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
