möglichkeit a: mit nem nuker...
möglichkeit b: viel viel arbeit ;

Hallo TigerBaby,

könntest du mir bitte beide Möglichkeiten etwas genauer erklären...

Tschüss Ti

die schnelle möglichkeit, der nuker:<br>
nichts weiter als ein wenige kb große datei, die mit den möglichkeiten von trojanischen pferden ausgestattet ist und gängige lücken von betriebssystemen attackiert, um das netzwerk des zielrechners von innen heraus zu trennen...<br><br>

die viel arbeit möglichkeit:<br>
du besorgst dir vom hersteller deiner netzwerkkarte die solaristreiber sowie die windowstreiber, nimmst einen brauchbaren disassembler (z.B. Sourcer), eine Spezifikation von den verwendeteten Netzwerkprotokollen usw...<br>
dann wird´s spannend - die aufgabe lautet, prüfe die spezifikation auf möglichkeiten des datentransfers, wie wo zugriff erfolgen kann - im leichtesten wie im schwierigsten fall... wenn´s des hast, dann darfste dich daran setzen und die aus dem disassembler deiner windows-dll´s entstandenen assembler-sourcen und fängst an das zeug zu optimieren und zu modifizieren... dabei wird´s nicht reichen, wenn man das assemblerhandbuch nur gelesen hat ! dann schreibste dir´n proggi, daß festgestellte grenzwerte testen soll, und zielst aus´m lokalen netzwerk auf deinen rechner mit den reassemblierten und installierten treiber-dll´s... guck nach, was passiert ...
kannst dir ja ´n filter-server schreiben, der jeglichen datentransfer etc. via port-listening filtert ... am besten auf ner kiste mit viel ram und viel cpu-leistung, denn der windows-kernel wird bei 65535 ports auch in thread-architektur reichlich ruckeln...
laß die ergebnisse inne log-datei schreiben und werte sie aus... u.U. ist ausbesserung erforderlich - shit happens -<br><br>
es gibt dabei ne menge wege und möglichkeiten... später kannste deinen deinen "lausch-server" stumpf so erweitern, daß sobald eine ip etwas "unartiges" macht, dieser in einer to block liste erscheint und von dort aus automatisch für alle services geblockt wird...
schickst der ip connection refused zurück und gaukelst´n stealth mode vor... und dann bleibt nur noch die frage was du aus seinen eingehenden daten machen willst ... neugierig ? -> log-datei...
nicht neugierig -> c:\recycled\NUL<br><br><br>

ich wünsche frohes schaffen..

Hi,

Tolle Ideen...

oder bastel dir doch mit Fischertechnik/Lego 'nen Roboter, der über die serielle Schnittstelle gesteuert das Netzkabel zieht ;-)

Gruß
Gesin

Hallo,

@TigerBaby<br>
hättest du ein Beispiel für einen "Nuker"?

"Die Möglichkeit, die viel arbeit macht" ist wohl auch noch so der richtige Weg, da man ja den Treiber speziell auf eine Netzwerk-Karte (Hardware) bezieht.<br>
Wie kann man nun ermittelen, ob "eine ip etwas "unartiges" macht"? Man müsste doch alle Daten nach bestimmten Daten durchsuchen und dann Filtern...

@Gesine:<br>
Ja wohl eine "tolle Idee", mit dem "Fischertechnik/Lego'nen Roboter", aber die Ansteurung der serielle Schnittstelle müsstest du mir mal etwas genauer erklären...

:-)

Tschüss Ti

Hi Tim,

1)
Was du vorhast ist ja im Prinzip nichts anderes als eine Firewall, bei der alle Ports gesperrt sind. Dazu hatten wir hier ja bereits eine Diskussion ;-)

2)
Ein Ansatzpunkt ( wenn auch brachial ) wäre vielleicht das verstellen der Gateway-Adresse ins Nirwana. Du hast dann allerdings das Problem, das W9x ( zumindestens wenn man auf regulärem Weg Änderungen vornimmt ) bei Änderungen an den TCP-Einstellungen einen Neustart verlangt. Ausserdem läuft der W9x-Mist gerne Amok, wenn plötzlich die Netzverbindung abbricht ( Leicht zu überprüfen, wenn du einen 'bionischen' Roboter spielst und mal einfach das Netzkabel ziehst... ).

3)
Eine einfache, effektive und professionelle Lösung ist das zwischenschalten eines Routers. Sobald auf diesem das Routing ( geht auch ferngesteuert ) ausgeschaltet wird, ist dein Problem erledigt ( so eine Art 'Alles-oder-nichts' Firewall ). Du must 'nur' noch mitbekommen, wann etwas unartiges passiert. Und schon hast du das Problem, was alle Schutzmassnahmen in Netzwerken haben: Zu unterscheiden was erlaubt und was verboten ist ohne den Betrieb zu stören.

4)
Wenn man sich vor Augen führt, was für ein Aufwand schon die Wartung und Pflege einer sonst voll funktionsfähigen Firewall verursacht ( nur die Analyse der anfallenden Log-Daten kann einem schon den Tag versauen ), dann wirst du mit deinem Vorhaben noch viel Spass haben...

Gruß
Gesin

Hallo Gesine,

zu 1.: ich habe irgendwie das Gespräch zum Thema Firewall aus den Augen verloren, da ich inzwischen wieder anderweitig beschäftigt war, jaja so ist das nun mal. ;-)

zu 2.: Den Spass das Netzwerkkabel zu kappen habe ich mir schon bei einem Freund gemacht. Resultat: wir haben eine dreiviertel Stunde gebraucht um alles wieder halbwegs in Ordnung zu bringen, denn nach einem Neustart waren prlötzlich alle Treiber deaktiviert usw.

zu 3.: Der Router ist vielleicht ganz gut, nur leider hat nicht jeder einen Router bei sich zu Hause und wie steuert man diesen? (Ich habe schon einige Versuche gestartet, die mehr oder weniger kläglich gescheitert sind.

zu4.: Ich muss hier wieder das Beispiel von ZoneAlarm aufführen - wie machen die das nur? Hier kann man doch auch einfach jeglichen Verkehr unterbrechen... (scheinbar ohne VxD-Treiber :-))

zu 5.: ähh...

Tschüss Ti

lacht ...
gesine, treffendes beispiel

aber ich habe weit krankere aktionen durch:
c64 mit pc-grafikkarte,
c64 mit netzwerk via lpt verbinden ...

ich weiß nicht, wie weit du schon so kranke events hattest,
aber wie mir scheint, sei ich wohl´n besonders schlimmer fall

wo soviel instanzen-schrott am rennen ist, kann ein packetfilter auch nicht mehr verkehrt sein... wie bereits erwähnt bedarf es für solche nummern auf jeden fall reichlich rechenleistung (unter windoof)...

@tim... was den nuker an geht, ich erinnere mich an eine einfache form namens divint 3 ... allerdings denke ich, daß die "zu haben unter adi" hier verkehrt ist

greets -=) TigerBaby (=-

ps: gesine, eine problematik, die nicht allzu ohne ist, ich habe selbst ein projekt am laufen, wo dieses nur einen kleinen teil der sicherungsmaßnahmen darstellt

~~~ we are the krankest ~~

Hi Tim,

Um dem Treiben von Zonealarm u.ä. auf die Schliche zu kommen, empfehle ich die Seite www.snort.org. Das System gibt es inzwischen sogar unter Windows ( in dieser Umgebung habe ich es allerdings noch nie eingesetzt ) und da es Opensource ist, könnte man sich den Code mal zu Gemüte führen.

Gruß
Gesin