Moin!

Gem. deiner Empfehlung habe ich auch inzwischen als erstes Port 5000 geschlossen (komisch, dass das so umständlich und für jeden Port/ Portgruppe anders ist. Dachte, dafür gibts einfach einen Command.) Soweit sogut.

Jeder einzelne geöffnete Port wird in aller Regel von einem individuellen Programm genutzt. Und er ist natürlich nur geöffnet, wenn das Programm läuft. Um den Port also zu schließen, muß man das Programm stoppen, bzw. dessen Start verhindern. Und da die Programme höchst unterschiedlich gestartet werden, sind die Methoden zum Stoppen eben auch unterschiedlich.

Unter Linux hat man es bei einigen Sachen einfach. Da gibt es ein zentrales Programm inetd, welches viele Ports gesammelt öffnet (und im Kontaktfall dann das zuständige Programm startet). Bei dem kann man in einer Konfigurationsdatei bestimmen, welche Ports (und welche Programme) aktiv sein sollen.

Was ich aber jetzt noch nicht verstehe: was hat deine Ausführung mit dem Internet zutun? Von einer Seite, die ich anklicke kann doch kein Script meine Ports scannen, wenn ich alle Restriktionen im Browser aktiviert habe.

Doch, klar. Indem du die HTML-Seite vom Server anforderst, weiß der deine IP-Adresse. Und kann ein Skript starten, welches vom Server aus deine Ports scannt. Ein vollständiger Portscan dauert zwar so seine Zeit, insbesondere, wenn eine Firewall alle Ports filtert, weshalb man das nicht "einfach so" machen kann (Timeout des Browsers würde verhindern, dass du die Ergebnisse kriegst). Aber mit Sessions und Reload und einem passenden System auf dem Server ist das kein Problem. Siehe beispielsweise http://www.port-scan.de. Da kannst du alle möglichen Scans machen lassen (die übrigens auf dem Linux-Tool nmap basieren).

Dein Rechner ist von außen für Scans immer erreichbar - vollkommen unabhängig davon, ob du im Browser ActiveX oder Javascript oder sonstwas ein- oder ausgeschaltet hast.

Muss ich also, wenn ich als normaler User zum Surfen ins Internet gehe, d.h. mich bei meinem ISP anmelde, damit rechnen, dass über ihn fremde PCs versuchen, meine IP und offene Ports herauszufinden um mir darüber Mist zu schicken?

Ja, davon mußt du ausgehen.

Wobei "Meine IP herausfinden" so nicht stimmt. Man kann von außen feststellen, dass deine IP existiert. Und man kann herausfinden, welche Ports offen sind (wenn sie offen sind). Und wenn man dann Zugriff beispielsweise auf deine Dokumente kriegen kann, und da drinsteht, wer du bist und wo du wohnst, erst dann ist die IP "deine" IP, kann also dir persönlich zugeordnet werden.

Bis dahin ist die IP nur "irgendeine IP", und die kann man dir nur zuordnen, wenn man deinen Provider fragt, welcher seiner Kunden sich zu einer gewissen Uhrzeit mit dieser IP eingeloggt hatte.

Wenn der Provider nett ist, und du eine Flatrate hast, speichert er diese Information auch gar nicht - wobei ich so meine Zweifel habe, dass es _so_ nette Provider überhaupt gibt, denn allein im eigenen Interesse (Mißbrauch abstellen) wird diese Information geloggt werden.

Du bist also keinesfalls anonym - bestenfalls bist du nur unbekannt. Und wenn du deinen Namen und Adresse in irgendein Webformular einträgst und abschickst, dann kann der Webserver, und alle, die mit dieser Information versorgt werden, die IP mit deinem Namen verknüpfen.

Und wenn ja, wie machen die das, also mit welcher Software melden die sich bei ihrem ISP an? Etwas Selbstgeschriebenes?

Nein, die können ganz normale Betriebssysteme benutzen. Die brauchen ja auch nur eine stinknormale TCP/IP-Verbindung ins Internet. Und natürlich einen Provider, der ihnen "Internet in echt" verkauft, also nichts aus dem Datenstrom rausfiltert, sondern direkte Verbindungen zuläßt. AOL würde beispielsweise nicht unbedingt in Frage kommen.

- Sven Rautenberg