Pakete Filtern/Blocken

ServerNoob

New Member
Derzeit plagt mich ein Angreifer der ein Paket an einen meiner Dienste sendet
und somit diesen zum Herunterfahren zwingt.

Es sollte doch möglich sein den Inhalt eingehender Pakete zu prüfen und diese dann zu blockieren wenn sie einen bestimmten Inhalt haben oder?

Meine Frage ist daher auf welche Art und weise ich nun ein eingehendes Paket auf Inhalt prüfen und falls der inhalt z.B. xyz beträgt blockieren kann.

Beim verwendetem Betriebssystem handelt es sich um Windows Webserver 2008R2.

Ich befinde mich derzeit in der Lernphase und muss zu meiner Schande gestehen das ich mich mit diesem Thema weitesgehend garnicht auskenne.
Daher würde ich mich freuen wenn mir bei meinem Problem etwas auf die Sprünge geholfen würde.

Besten Dank
 

Lord Gurke

Nur echt mit 32 Zähnen
Ob es DPI-Firewalls für Windows gibt, die nicht den Gegenwert eines Kleinwagens haben weiß ich nicht - aber ich frage mich wieso jemand den Dienst so einfach Stoppen kann?
Oder meintest du damit, dass der Dienst schlicht und ergreifend crashed?

Egal was es ist, dieses Verhalten sollte dem Dienst ausgetrieben werden - entweder hast du da kaputte Konfigurationen, wenn es jemand aus der Ferne schafft den Dienst zu stoppen oder aber man will ihn sowieso nicht betreiben, wenn jemand den Dienst mit manipulierten Paketen zum Absturz bringt - das deutet auf unsaubere Programmierung und damit auf potentiell gefährliche Sicherheitslücken hin.

Um welchen Dienst geht es denn, vielleicht kann man daran ansetzen ob es viel oder wenig Magie bedarf um dieses Paket zu filtern.
 

ServerNoob

New Member
Der Dienst crasht. Das Paket welches den Dienst zum crashen zwingt habe ich bereits gecaptured, jedoch fehlt mir nun das wissen um dieses Paket blocken zu können.

Die nötige Hilfe um den Fehler im Programmcode ausfindig zu machen und zu beheben bekomme ich erst ende nächster Woche von jemandem der auch was von c++ versteht denn ich kann das bei weitem noch nicht :D

Um diesen Programmierfehler also erstmal zu umgehen möchte ich halt einfach
(naja vielleicht ist es ja nicht einfach) Windows so konfigurieren können das es dieses Paket erstmal nicht weiter bearbeitet. Der Block müsste auch nur auf 2 bestimmte TCP Ports angewendet werden.
Am wichtigsten ist mir dabei erstmal nur die Frage ob und wie es generell möglich ist Pakete mit einem inhalt von z.B. xyz zu Blockieren.
 

ServerNoob

New Member
Vielleicht drücke ich mich ja falsch aus oder bin auf dem Holzweg was das angeht aber unter Inhalt verstehe ich die Daten welche in einem gesendetem/empfangenem Paket stecken oder verstehe ich das nun auch wieder falsch.
Ne DPI Firewall währe also eine Lösung wenn ich die Funktionsweise richtig verstanden habe.
Eine Firewall mit DPI = Deep Packet Inspection würde somit die Daten eines Pakets analysieren können und gegebenenfalls aufgrund gewisser Kriterien dann auch blocken können.
Das geht mit Windows boardmitteln wohl eher nicht oder?
 

M-X

Registered User
Dafür brauchst du eine Deep Packet inspection Firewall, ob es sowas für lau oder im bezahlbaren Bereich für Windows gibt kann ich dir nicht sagen. Mit Boardmitteln wird das allerdings nichts. IP Blocken wäre nur eine Möglichkeit wenn du die Angreifer IP kennst und diese sich nicht dauernd ändert, wie bei einem Normalen DSL Anschluss der Fall ist.
 

Jesaja

Member
Ein windowseigener Dienst?
Evtl kann man ja die Schwachstelle fixen und braucht keine Firewall.
Um welchen Dienst geht es denn und auf welchem Port kommt das Paket, was du schon gecaptured hast.

Alle Patches eingespielt?
 
Top