Kalle: Angreifer gezielt entlarven

Hallo,

Wir haben uns im Thread ?t=176678&m=1162737 darüber unterhalten wie man sich gut gegen Angriffe im HTTP/PHP-Bereich absichert.

Zuletzt stellte sich mir die Frage wie ich einen Angreifer entlarve.
Welche Daten außer IP-Adresse sollte man loggen und wo gehe ich mit diesen Daten anschließend hin?

Kalle

P.S.: Das soll kein Doppelpost sein, sondern möchte es als Neues Thema eröffnen!

  1. Mahlzeit Kalle,

    Zuletzt stellte sich mir die Frage wie ich einen Angreifer entlarve.
    Welche Daten außer IP-Adresse sollte man loggen

    Aussagekräftig ist darüber hinaus IMHO nur der Zeitpunkt. Alle anderen Informationen, die z.B. angebliche Browser angeblich liefern, sind beliebig fälschbar. Grundsätzlich wäre auch die IP-Adresse fälschbar (wenn der Angreifer z.B. eine reine DoS-Attacke fährt und auf Antworten keinerlei Wert legt).

    Tiefgehendere Aussagen mögen von den anwesenden Fachleuten kommen - was das angeht, bin ich zu wenig Netzwerkspezialist.

    und wo gehe ich mit diesen Daten anschließend hin?

    Wenn der Verdacht einer Straftat besteht, grundsätzlich zur Polizei ...

    MfG,
    EKKi

    --
    sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
    1. Moin,

      Grundsätzlich wäre auch die IP-Adresse fälschbar

      Das Internet ist eben noch Beta, ne?

      Wenn der Verdacht einer Straftat besteht, grundsätzlich zur Polizei ...

      Was ist eine Straftat in bezug auf Hacking?
      ab wann wurde man gehackt?
      Ist der Versuch alleine schon Strafbar?
      USW...?

      Kalle

      1. Mahlzeit Kalle,

        Was ist eine Straftat in bezug auf Hacking?
        ab wann wurde man gehackt?
        Ist der Versuch alleine schon Strafbar?
        USW...?

        Das solltest Du das StGB (§202a, §303a und §303b) bzw. ggf. den Anwalt Deines geringsten Misstrauens fragen. Rechtsauskunft und -beratung darf in diesem Forum nicht geleistet werden. Darüber hinaus vermute ich, dass das geballte Fachwissen zu diesen Themen eher in anderen Foren zu finden ist ... :-)

        MfG,
        EKKi

        --
        sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
    2. Hello,

      Zuletzt stellte sich mir die Frage wie ich einen Angreifer entlarve.
      Welche Daten außer IP-Adresse sollte man loggen

      Aussagekräftig ist darüber hinaus IMHO nur der Zeitpunkt. Alle anderen Informationen, die z.B. angebliche Browser angeblich liefern, sind beliebig fälschbar. Grundsätzlich wäre auch die IP-Adresse fälschbar (wenn der Angreifer z.B. eine reine DoS-Attacke fährt und auf Antworten keinerlei Wert legt).

      Das "Forwarded for" würde ich auf jeden fall noch loggen, wenn es denn geliefert wird und dann die IP gleich rückwärts auflösen lassen, soweit möglich.

      Liebe Grüße aus Syburg bei Dortmund

      Tom vom Berg

      --
      Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de