Moin!

Bei den "aktuellen" Scans hast du recht, ich selbst hatte aber shconmal das, von mir genannte, Problem.

Wenn's wirklich ein DoS war, war es aber kein Scan. Weil DoS und Scannen sich gegenseitig irgendwie ausschließen - was will man denn noch als Ergebnisse vom Scan erhalten, wenn die Kiste kaum noch antwortet?

Mal abgesehen davon, das ein Server mit Kundenseiten nicht mehr erreichbar war, wurde auch ne Masse Traffic verursacht, und das zu Zeiten, in denen es noch keine Server mit 100Gb Freitraffic gab. Da hab ich noch richtig geld abgedrückt für jedes GB, das verbraten wurde.

Man hat als Serverbetreiber keinerlei Chance, etwas gegen einen DoS-Angriff zu unternehmen.

Zwingend erforderlich ist in solchen Fällen immer die Mitarbeit mindestens des lokalen Providers, bei dem der Server steht, eventuell auch von dessen Provider, um auf den vorgelagerten Routern die bösen Pakete schon rauszufiltern und so den Traffic erst gar nicht entstehen zu lassen. Als Nebeneffekt bleibt dann auch die Leitung zu anderen Kunden frei.

Ich will damit ja nur sagen, das solche Scans auch Server sachädigen könnne, die Sicherheitstechnscih auf dem neuesten Stand sind. Eine entsprechende Abwehr (Paketsniffer o.ä.) ist oft trotzdem nötig.

Absolut richtig - nur: Gegen DoS und Scans kann man sich nicht wehren, die passieren, wenn jemand es für erforderlich hält, sie durchzuführen. Firewallregeln auf dem Server verhindern nicht den Traffic des DoS, und sie sind oftmals nicht einsetzbar gegen Scans (wobei es in meinen Augen auch vollkommen egal ist, ob eine dynamisch aktivierte Regel niemals, nach tausend, zehn oder einem einzigen erfolglosen Scanversuch irgendetwas abriegelt, weil die trotzdem möglichen Scans ja dennoch Informationen liefern - wenngleich es eben ein wenig länger dauert, die Liste durchzutesten), weil die Gruppe der erwünschten Nutzer identisch ist mit "das gesamte Internet kann es sein". Dynamische Benutzer-IP und so. Selbst der Versuch, ausschließlich das DSL-Netz der Telekom zu erlauben artet einerseits in extreme Arbeit aus (wer kennt schon den DSL-IP-Range der Telekom, der konkret benutzt wird), und hilft andererseits trotzdem nicht gegen Scans, weil sich mutmaßlich genügend Zombie-Rechner auch bei Telekom-Kunden finden lassen und dann eben scannen können.

- Sven Rautenberg