Sie sind hier: Sicherheit im Internet / Netzwerk-Grundwissen / "Trojanerports"
9.1.2009 : 22:15 : +0100



Werbung

Das könnte Sie
auch interessieren:

Testen Sie Ihre Firewall
Verstellte Startseite

Aktuelle Diskussionen in unserem Forum:

Immer informiert mit unserem Newsletter:

E-Mail:
 

Weitere Informationen auch auf unserer Infoseite!


"Trojanerports"

Eine der häufigsten Anfrage in Newsgroups und persönlichen Mails beziehen sich auf die sogenannten "Trojanerports".

"Meine Firewall meldet, daß mich jemand mit BackOrifice2000 angreift. Was soll ich tun?"

Antwort: Überhaupt nichts.

Ihre Firewall zeigt höchstwahrscheinlich einen Verbindungsversuch (wenn TCP/IP) oder ankommende Pakete (wenn UDP) an, die an einen bestimmten Port an Ihrem Rechner gerichtet sind. Dieser Verbindungsversuch erscheint Ihrer Firewall meldenswert, da dieser spezielle Port oftmals von diversen "Hackertools", Trojanischen Pferden oder "Fernwartungssoftware" für die Kommunikation genutzt wird.

Das heißt aber noch lange nicht, daß wirklich ein Angriff stattfindet. Da die Ports, auf denen diese "böse" Software arbeitet, nicht reserviert oder sonstwie geschützt sind, können sie von jedem Programm für jeden beliebigen Zweck verwendet werden.

Zusätzlich gibts es wahnsinnig viele mögliche Ursachen, die überhaupt nichts mit einem Angriff zu tun haben, aber trotzdem eine Meldung Ihrer Firewall erzeugen.

Beispiele:

  • Ich betreibe unter meinem dynamischen DNS-Namen auf Port 31789 einen Webserver. Ein Bekannter will sich darauf verbinden um meine neuesten Seiten zu begutachten und merkt nicht, daß ich versehentlich getrennt wurde. Sie wählen sich gerade ein und erhalten die IP-Adresse, die ich bis zur Trennung hatte. Schon zeigt Ihre Firewall einen Hack'a'Tack-Angriff von meinem Bekannten.
  • Ich möchte von einem öffentlichen FTP-Server Daten herunterladen. Ich baue die Verbindung auf und gerade als der FTP-Server den Datenkanal zu mir auf Port 31789 aufbauen will (ein ganz normaler Vorgang!) bricht die Verbindung ab. Der FTP-Server wird es noch ein paar Mal probieren, was beim "Nachmieter" meiner IP-Adresse wieder an der Firewall angezeigt wird.
  • Ich spiele mit Telnet herum. Damit kann ich Ihnen normalerweise keinerlei Schaden zufügen. Wenn ich eine telnet-Sitzung zu Port 31789 aufbauen will, wird dies Ihre Firewall als Angriff dokumentieren.
  • ...

Ich könnte noch eine ganze Reihe Beispiele aufzählen, habe aber vermutlich auch so erreicht, was ich erreichen wollte: Sie sollen sehen, daß die Beweislage für einen Angriff sehr dünn ist. Streng genommen können Sie überhaupt nichts beweisen. Nicht sehr befriedigend, aber wahr.