Spoof attacks

[xtragood 10]

Guten morgen zusammen,

 

heute morgen wurde unser ISA Server angegriffen (denke ich zumindest). Im eventlog hab ich jedenfalls spoof attacks von ungefähr 15 verschiedenen IP Adressen bekommen, die jeden Traffic nach drinnen/draussen für 14 Stunden lahm legten...

 

Interpretiere ich das falsch oder richtig?

 

Was könnte ich für die Zukunft dagegen unternehmen?

 

Grüße

[phoenixcp 10]

Rein aus Interesse. Ich hab noch nie einen solchen Logeintrag gesehen. Könntest mal einen Posten?

 

Danke.

[xtragood 10]

Ok, hier ist mal einer...

 

Gruß

[phoenixcp 10]

Danke schön.

 

Ich kann nur mutmassen, hab mit sowas keinerlei Erfahrung, aber schau dich doch mal im Netz um, ob die IP's von denen du gespooft wurdest, auf irgendwelchen Blacklists geführt sind. Dann könntest die selber blocken. Ansonsten wirst du nur damit leben müssen und versuchen deine Bastion weiter auszubauen, um damit einen Einbruch zu verhindern.

[xtragood 10]

Im Prinzip kann ich die ICMP IP packet filter, die zur Zeit noch bestehen, ebenfalls blocken, dann wären diese Angriffe (hoffentlich) nicht mehr möglich.

 

Bisher machten diese spoof attacks niemals Probleme, bis auf gestern Abend...

 

Wenn noch jemand da was weiß, bitte posten...!

 

Trotzdem schonmal danke.

 

 

PS: Nachdem ich heute morgen alle IP's getraced habe, ist mir aufgefallen, daß auch firmenbekannte IP's dabei waren, deswegen bin ich etwas stutzig geworden, ob denn das wirklich ein echter Angriff gewesen war, und keine Fehlfunktion von irgendwas...?!