716622

Firewall: Identität eines Angreifers herausfinden

Ihre Firewall meldet unberechtigte Zugriffsversuche auf Ihren Rechner aus dem Internet. Wie finden Sie heraus, wer hinter den Angriffen steckt? Eine Firewall meldet die IP-Adresse des Angreifers. Sie besteht aus zwölf Ziffern, die jeweils in Dreier-Blöcke aufgeteilt sind, und wird für jeden Rechner im Internet pro Anmeldung eindeutig vergeben. PC-WELT verrät Ihnen, wie Sie den Angreifer ausfindig machen können.

Anforderung

Fortgeschrittener

Zeitaufwand

Mittel

Problem:

Ihre Firewall meldet unberechtigte Zugriffsversuche auf Ihren Rechner aus dem Internet. Wie finden Sie heraus, wer hinter den Angriffen steckt?

Lösung:

Eine Firewall meldet die IP-Adresse des Angreifers. Sie besteht aus zwölf Ziffern, die jeweils in Dreier-Blöcke aufgeteilt sind, und wird für jeden Rechner im Internet pro Anmeldung eindeutig vergeben. An Hand dieser eindeutigen IP-Adresse lässt sich feststellen, welcher Rechner auf Ihren PC zugreifen wollte. Versuchen Sie zunächst, ihn per Ping-Befehl zu identifizieren. Öffnen Sie dazu ein Kommandozeilen- oder DOS-Fenster, und geben Sie folgende Zeile ein:

ping -a <IP-Adresse>

Falls die IP-Adresse des entfernten Rechners bei Ihrem Nameserver registriert ist, wird sie aufgelöst und als www-Adresse angezeigt.

Sollten Sie hier nicht fündig werden, können Sie versuchen, den Domain-Provider herauszufinden. Erste Anlaufstelle ist in diesem Fall die Seite www.arin.net. Hier sind sämtliche amerikanischen Internet-Adressen in einer Datenbank gespeichert. Die Datenbank erkennt auch außer-amerikanische IP-Adressen und verweist den Besucher auf die entsprechende zuständige Seite, etwa www.ripe.net in Europa.

Details dazu, wie auf Ihren Rechner zugegriffen wird, erfahren Sie über die Port-Nummer, die Ihnen die Firewall ebenfalls meldet. Jedem Port ist dabei ein bestimmtes Datenprotokoll zugeordnet. Ein Beispiel: Das HTTP-Protokoll, das ausschließlich für Web-Seiten verwendet wird, läuft immer über Port 80. Die Port-Nummer wird nach einem Doppelpunkt an die jeweilige IP-Adresse angehängt, also etwa <IP-Adresse>:80.

Insgesamt gibt es 65.536 Ports. Festgelegt wurden die Ports von der IANA (Internet Assigned Numbers Authority, www.iana.org ). Die wichtigsten, beispielsweise Port 80 für HTTP oder 20 für FTP, liegen im Bereich von 0 bis 1024, darüber die von Firmen oder Privatpersonen beantragten Ports.

Ein Beispiel: Über den Port 1433 kommuniziert der Microsoft SQL Server. Die offizielle Liste aller Port-Belegungen finden Sie in der Datei PORTS.TXT.

Sollte Ihre Firewall beispielsweise einen Zugriffsversuch über Port 23 melden, so hat jemand versucht, über Telnet auf Ihren Rechner zuzugreifen. Telnet ist ein Protokoll, mit dem man sich über ein Netzwerk auf anderen Rechnern einloggen kann.

Übrigens kennt jeder Port zwei Arten der Datenübertragung, TCP und UDP. Das User Datagram Protocol besteht aus einem einzigen ununterbrochenen Datenstrom. Das macht den Datentransfer über lange Entfernungen unzuverlässig. Deshalb wird diese Übertragungsart meist nur dazu benutzt, eine Verbindung zu prüfen oder Adressen auszutauschen.

TCP (Transmission Control Protocol) kümmert sich um den eigentlichen Datentransfer. Dabei werden Daten in Pakete aufgeteilt und am anderen Ende wieder zusammengesetzt. Außerdem wird der Empfang jedes Pakets dem Absender bestätigt.

0 Kommentare zu diesem Artikel
716622