Einbruchsversuche ___

Wie verhält man sich bei einem (vermeintlichen) Angriff? Die Entscheidung, ob man tatsächlich gehackt worden ist oder nicht, ist extrem schwer zu treffen. In den Log-Files werden die IP-Adressen angezeigt, die Verbindungsversuche unternommen haben. Längst nicht alle dieser Versuche sind Einbruchsversuche. Ein reiner Port-Scan ist noch kein Einbruch, sondern der Normalfall. Wer permanent online ist, kann mit mehreren Scans pro Minute rechnen. Hier ist es wichtig zu wissen, welcher Port gescannt wurde. Auch das steht in den Log-Files. Scans auf die Ports bis 1023 (Well known Ports) sind immer verdächtig. Werden die Ports 21, 25 und 80 gescannt, ist ein Einbruchsversuch wahrscheinlich. Ist zum Beispiel Port 1214 gescannt worden, war Kazaa aktiv: Ein anderer Kazaa-User hat versucht, eine Verbindung zu Ihnen herzustellen. Das ist bei dynamischen IP-Adressen keine Seltenheit: Der User, der vor Ihnen diese IP-Adresse hatte, war vielleicht ein eifriger Kazaa-Nutzer, und seine Erbschaft haben Sie nun angetreten. So verhält es sich natürlich auch mit anderen Anwendungen.

Wird ein Angreifer vermutet, kann man seine IP-Adresse in Tools wie Neotrace eingeben. Dadurch erhält man den Standpunkt des Angreifers auf einer Landkarte, genauer gesagt, den Standpunkt seines Einwahl-Routers. Kommt ein Angreifer aus Deutschland, können Sie eventuell versuchen, ihn dingfest zu machen. Dazu ist eine Whois-Abfrage bei www.denic.de zu starten. Hier erhält man Angaben zum Besitzer einer Domain sowie dem zuständigen Provider. Mit diesen Informationen wenden Sie sich direkt an den Besitzer oder senden eine Beschwerde- Mail an die Abuse-Adresse des Providers.