Ping Responde unterdrücken

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
chris-berlin

chris-berlin

Mitglied
Mitglied seit
25 Mai 2004
Beiträge
483
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,
gibt es bei der Fritz!Box Fon 7050 eine Einstellung das er nicht auf Pings anworten soll ?

Chris
 
Nein, kann man nicht abschalten.Ist schon öfters gefragt wurden, aber bis jetzt ( falls ich uptodate bin) gibt es noch keine Lösung dafür.Offiziell per Web UI geht es auf jeden Fall nicht, da müßte man auf jeden Fall was per Telnet umfrickeln.Meine eigenen "Forschungen" dazu hab ich erstmal auf Eis gelegt, hatte es nicht hinbekommen.


Mal ab davon, aber warum hälst Du es für wichtig, das abzuschalten...?

Grüße

TWELVE
 
Vielleicht geht es per Modifikation der Firewall-Regeln in ar7.cfg, aber definitiv sagen kann ich das nicht. Bei mir macht das mein Router vor der FBF...

@TWELVE:
Pings werden benutzt, um Systeme in einem Netzwerk zu scannen, auf die man dann gezielt mit Portscans losgeht ;-) Daher ist es ganz gut, per ICMP unsichtbar zu sein...

--gandalf.
 
gandalf94305 schrieb:
Pings werden benutzt, um Systeme in einem Netzwerk zu scannen, auf die man dann gezielt mit Portscans losgeht ;-) Daher ist es ganz gut, per ICMP unsichtbar zu sein...
Zum Vergrößern anklicken....
Ein passender Vergleich, den hier mal jemand brachte, ist der, dass das in etwa so wirksam ist, wie mit einem Schild "Ich bin nicht da" spazieren zu gehen. Das Nicht-Vorhandensein eines Rechners muss vom Gateway/Router davor kommen und das erreicht man nicht durch Nicht-Beantworten von ICMP-Requests.
 
gandalf94305 schrieb:
@TWELVE:
Pings werden benutzt, um Systeme in einem Netzwerk zu scannen, auf die man dann gezielt mit Portscans losgeht ;-) Daher ist es ganz gut, per ICMP unsichtbar zu sein...
Zum Vergrößern anklicken....
Die FritzBox wird in der Regel als Router eingesetzt. Wenn die nicht mehr auf Pings antwortet, kann ich sie trotzdem noch auf zig (tracert, arp usw.) Arten finden. Wieviel Angst kann man vor den Usern des eigenen Gateways haben, dass man es vor ihnen verstecken will? Ich kenne auch keinen sinnvollen Grund, das Gerät "zu verstecken".
 
KuniGunther schrieb:
Ein passender Vergleich, den hier mal jemand brachte, ist der, dass das in etwa so wirksam ist, wie mit einem Schild "Ich bin nicht da" spazieren zu gehen. Das Nicht-Vorhandensein eines Rechners muss vom Gateway/Router davor kommen und das erreicht man nicht durch Nicht-Beantworten von ICMP-Requests.
Zum Vergrößern anklicken....

Theoretisch ja, aber wenn der Rechner/Router keine ICMP-Pakete als Antworten versendet und keine offenen TCP/UDP Server-Ports hat, ist er effektiv nicht erreichbar und feststellbar. Zwar haben die Systeme, über die wir hier im Forum reden, normalerweise draußen zumindest alle 5060/udp geöffnet, aber man kann ja auch am Router vor der FBF 5060/udp nur für bestimmte Quelladressen der Registrar-Server an die FBF weiterleiten... ;-) So ist das jedenfalls bei mir definiert.

--gandalf.
 
@TWELVE:
Pings werden benutzt, um Systeme in einem Netzwerk zu scannen, auf die man dann gezielt mit Portscans losgeht ;)
Zum Vergrößern anklicken....

Vielen Dank für die Belehrung, mal wieder...:D

Wenn die nicht mehr auf Pings antwortet, kann ich sie trotzdem noch[...]finden.
Zum Vergrößern anklicken....

*zustimm*
Viele Scanner kann man so einstellen, das sie trotzdem die Ports scannen, egal ob der ICMP Echo Reply kommt oder nicht.Insofern ist das völlig egal, ob die Box nun auf Pings antwortet oder nicht.Wie geht man in der Regel vor, wenn man zum Zeittotschlagen scannt: Man scannt eines oder mehrere Subnets des eigenen Providers in der Nähe der eigenen IP nach offenen Ports ab.Ein fehlendes Echo Reply stört mich nicht, weil ich ja TCP Ports suche und keine Echo Replies.Jeder, der einen irgendwie gearteten Server betreibt, muß einen Port offen haben und so findet man ihn.Auch ne Fritz Box hat mind. einen Port offen, nämlich den für die VoIP Telefone.

Und nochwas: ICMP ist ein sehr nützliches Protokoll.Leider wird es immer als "böses" Protokoll verteufelt und erweckt somit bei vielen Leuten den Eindruck, man müsse ICMP generell blocken.Damit werden viele Probleme geschaffen ( Black Hole, MTU probleme durch blockierte MTU Discovery usw.), die so eigentlich gar nicht da sein müßten.

So bäh ! ;)

Grüße

TWELVE
 
Theoretisch ja, aber wenn der Rechner/Router keine ICMP-Pakete als Antworten versendet und keine offenen TCP/UDP Server-Ports hat, ist er effektiv nicht erreichbar und feststellbar.
Zum Vergrößern anklicken....
Wenn keine Ports offen sind, dann ist es ja sinnlos.Was nützt mir dann ein ICMP Echo Reply oder was hilft es dem Target, wenn er dann keine Replies
sendet...? Is was offen, findet man es auch ohne Reply, iss nix offen, nützt es mir auch nix, wenn ich einen Reply bekomme.BTW haben die Fritz Boxen auch einen UDP Scan "Bug", sie verhalten sich nicht konform und die meisten Scanner schließen daraus, das UDP Ports an der Fritz offen sind.
OK, jetzt könnte man noch einen "ping des Todes" senden, aber dagegen hat die FBF was eingebaut: den Limiter.Sagt jedenfalls AVM.

aber man kann ja auch am Router vor der FBF 5060/udp nur für bestimmte Quelladressen der Registrar-Server an die FBF weiterleiten... :wink: So ist das jedenfalls bei mir definiert.
Zum Vergrößern anklicken....
Ich halte es wegen dem Trafficshaping nicht unbedingt für eine gute Idee, die FBF hinter einem Router zu betreiben, aber wenn man das so tut, dann braucht man sich auch nicht mehr darum kümmern, wie man das ICMP Echo Reply der Box abschaltet...;-)


Grüße

TWELVE
 
TWELVE schrieb:
Ich halte es wegen dem Trafficshaping nicht unbedingt für eine gute Idee, die FBF hinter einem Router zu betreiben, aber wenn man das so tut, dann braucht man sich auch nicht mehr darum kümmern, wie man das ICMP Echo Reply der Box abschaltet...;-)
Zum Vergrößern anklicken....

;-) In der Tat, daher ist das auch kein Problem für mich... apropos... mein Router macht auch QoS :p

--gandalf.
 
hhhmm..genau das hatte ich auch mal probiert, weil es ja logisch erscheint, aber zumindest bei mir funktionierte das nicht.Das Ganze hat aber noch 1-2 Haken, erstens müßte man an der ar7.cfg rumfrickeln und zweitens filtert diese Methode auf ICMP und nicht auf ICMP Echo Request/Reply.Ich weiß nicht, ob das so eine gute Idee ist, ICMP komplett zu blockieren.Außerdem wäre es eigentlich besser, den Echo Reply zu verhindern anstatt ihn per Packetfilter zu blockieren.

Grüße

TWELVE
 
gandalf94305 schrieb:
aber man kann ja auch am Router vor der FBF 5060/udp nur für bestimmte Quelladressen der Registrar-Server an die FBF weiterleiten...
Zum Vergrößern anklicken....
Schließt Dich das nicht von direkten Anrufen auf Deine IP (und somit per ENUM "vermittelten" Anrufen) aus?


Gruß,
Wichard
 
wichard schrieb:
Schließt Dich das nicht von direkten Anrufen auf Deine IP (und somit per ENUM "vermittelten" Anrufen) aus?
Zum Vergrößern anklicken....

In der Tat, aber das ist bisher kein wesentliches Problem... Ich habe diese Regeln per Scheduling definiert, d.h. sie sind nur zu Nachtzeiten aktiv. Tagsüber bzw. am Abend bin ich normal und vollständig erreichbar.

Gerade nachts sehe ich jedoch eine Reihe von Angriffsversuchen im Protokoll, so daß dies eine Maßnahme ist, um potentielle Risiken zu minimieren.

--gandalf.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 530 (Mitglieder: 16, Gäste: 514)

Neueste Beiträge

Statistik des Forums

Themen
246,768
Beiträge
2,257,146
Mitglieder
374,805
Neuestes Mitglied
asdsadasdsa
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück