Warnungen bei erkanntem Spoofing

Wenn Sie die IPS-Funktion aktivieren, wird diese Warnung automatisch angezeigt, wenn Host Intrusion Prevention eine Anwendung auf dem Computer erkennt, die Spoof-Netzwerkdaten sendet. Das bedeutet, dass die Anwendung versucht, den Datenverkehr als von Ihrem Computer ausgehend zu tarnen; tatsächlich stammt er jedoch von einem anderen Computer. Hierzu ändert sie die IP-Adresse in den ausgehenden Paketen. Spoofing ist stets eine verdächtige Aktivität. Wenn dieses Dialogfeld angezeigt wird, sollten Sie sofort die Anwendung untersuchen, die den Spoof-Datenverkehr gesendet hat.

 

Das Dialogfeld Warnungen bei erkanntem Spoofing wird nur angezeigt, wenn Sie die Option Popup-Warnung anzeigen auswählen. Wenn Sie diese Option nicht aktivieren, blockiert Host Intrusion Prevention automatisch Spoof-Datenverkehr, ohne Sie diesbezüglich zu benachrichtigen.

Das Dialogfeld Warnung bei erkanntem Spoofing entspricht weitgehend der Warnung durch die Firewall-Funktion Lernmodus. Es zeigt Informationen über abgefangenen Datenverkehr auf zwei Registerkarten an - der Registerkarte Anwendungsinformationen und auf der Registerkarte Verbindungsinformationen.

Auf der Registerkarte Anwendungsinformationen wird angezeigt:

Auf der Registerkarte Verbindungsinformationen werden weitere Netzwerkdaten angezeigt: Insbesondere Lokale Adresse zeigt die IP-Adresse an, die die Anwendung angeblich hat, während Remote-Adresse die tatsächliche IP-Adresse anzeigt.

Wenn Host Intrusion Prevention Spoof-Netzwerkdatenverkehr erkennt, versucht sie, sowohl den Datenverkehr als auch die Anwendung zu blockieren, die ihn generiert hat. Hierzu fügt sie eine neue Regel am Ende der Liste der Firewall-Regeln hinzu. Die Regel Spoofing-Angreifer blockieren blockiert sämtlichen Datenverkehr, der durch die verdächtige Anwendung erstellt wurde; sofern sie nicht durch eine andere Regel in der Liste überschrieben wird.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.