Moin!

Moin!

Kann man mit Zonealarm das blocken?

Mit einem Paketfilter kannst du alles blocken, musst nur wissen welcher port und welches protocol.

Ja und nein.

Du hast wahrscheinlich noch nie ein FW-Regelwerk gesehen ;-)

Ich nehme an, du hast eines bei dir installiert.

Darf ich dir hierzu eine Frage stellen?

Kann jeder deiner Rechner auf deinen zentralen DNS-Cache/DNS-Server zugreifen, oder kann jeder deiner Rechner den DNS-Server deines Providers direkt ansprechen?

Wenn ja, hast du ein Problem mit deinem Paketfilter.

Du hast behauptet, man könne mit einem Paketfilter alles blocken. AUCH SPYWARE. Also ein Programm, von dem man annimmt, dass es böse Dinge tut, aber man nicht genau weiß, wie.

Informiere dich.

Informiere _du_ dich! Beispielsweise über den DNS-Tunnel der c't.

Da der Spyware-Infizierte Rechner zwar auffällig viele DNS-Anfragen stellt, diese aber alle ganz legal an den konfigurierten Nameserver gehen, genau wie bei vielen anderen Dingen auch, ist problemlos eine Datenübermittlung möglich. Es braucht nur eine passende Gegenstelle, die als Nameserver operiert. Die übermittelten Informationen werden durch das Nameserver-Netzwerk deinem Nameserver übermittelt, und von dort weiter zum Spyware-Rechner.

Jetzt blocke bitte diese DNS-Requests mit deinem Paketfilter! Dürfte schwierig werden, weil ein Paketfilter nicht in den Datenteil von UDP-Paketen reingucken kann. Weil er das darin enthaltene, im Grunde beliebige, Protokoll nicht versteht.

So, und jetzt kommst du wieder...

...aber vermutlich wirst du schweigen. Wie immer.

- Sven Rautenberg