| [Форум] [Помощь] [Поиск] [Выйти] |
Добро пожаловать, ![[info]](userinfo.gif){kind=small} User
|
|
|
| ||
| У меня такой вопрос по поводу Outpost firewall-в последнее время участились атаки и сканирования портов. В журнале заблокированных соединений причины:1.Пакет на закрытый порт 2.запретить NetBios соединения. Раньше сканирования были но не так часто - сейчас за 10 минут 40 сканирований. Форумляне, в чем тут дело? Или это нормально? |
| ||
| причем часто сначала для одного и того же удаленного адреса запрещается NetBios соединения а потом идет пакет на закрытый порт. Объясните, кто понимает. |
| ||
| у меня тоже очень много сканирований портов, так что, я думаю, все ок |
| ||
| а у меня от этого комп подвисать начинает..... |
| ||
| проблема в том что раньше этого не было. На трафик вроде не влияет. Жду более - менее профессионального комментария от того кто разбирается в причинах, а не сетует на последствия. Сам бы разобрался но это трудно и долго. |
| ||
| сканирование всех портов или какихто определенных ? сейчас летают пару червей которые ищут уязвимости в виндах и заражают компы .. посмотреть бы лог отчета ? кинь сюды кусочек ! |
| ||
| у меня та же история. Вот вам куочек лога, ещё тёплый) 07.01.2005 22:18:42 Сканирование портов 213.232.247.94 TCP(445) TCP(11768) 07.01.2005 22:18:42 Запрос на соединение 213.232.247.94 TCP(445) 07.01.2005 22:18:37 Запрос на соединение 213.232.247.94 TCP(11768) 07.01.2005 22:18:34 Запрос на соединение 205.209.184.162 TCP(312) 07.01.2005 22:18:20 Сканирование портов 81.131.210.243 TCP(445) 07.01.2005 22:18:20 Запрос на соединение 81.131.210.243 TCP(445) 07.01.2005 22:17:59 Сканирование портов 80.118.113.15 TCP(445) TCP(11768) 07.01.2005 22:17:59 Запрос на соединение 80.118.113.15 TCP(445) 07.01.2005 22:17:54 Запрос на соединение 80.118.113.15 TCP(11768) 07.01.2005 22:17:29 Сканирование портов 194.149.125.34 TCP(445) TCP(11768) 07.01.2005 22:17:29 Запрос на соединение 194.149.125.34 TCP(445) 07.01.2005 22:17:28 Запрос на соединение 83.30.34.248 TCP(11768) 07.01.2005 22:17:24 Запрос на соединение 194.149.125.34 TCP(11768) 07.01.2005 22:17:21 Запрос на соединение 67.19.122.223 TCP(312) |
| ||
| Подозрительные пакеты: 23:15:49 62.87.212.216 TCP (11768) 23:15:43 213.192.80.82 TCP (11768) 23:15:37 138.89.155.206 TCP (445) 23:15:32 138.89.155.206 TCP (11768) 23:15:19 151.196.189.19 TCP (445) 23:15:13 151.196.189.19 TCP (11768) 23:15:11 217.96.195.76 TCP (445) 23:15:06 217.96.195.76 TCP (11768) 23:14:47 195.144.120.147 TCP (445) 23:14:36 212.109.29.144 TCP (445) 23:14:34 212.109.29.144 TCP (11768) 23:14:34 195.144.120.147 TCP (11768) Заблокированные: 23:01:49SYSTEM TCP62.87.212.216 Пакет на закрытый порт 23:01:43SYSTEM TCP213.192.80.82 Пакет на закрытый порт 23:01:37NETBIOS TCP138.89.155.206 Запретить NetBIOS соединения 23:01:32SYSTEM TCP138.89.155.206 Пакет на закрытый порт 23:01:19NETBIOS TCP151.196.189.19 Запретить NetBIOS соединения Такие дела ;) Что скажете? |
| ||
| Весь интернет сканируется хакерами, спамерами и прочей мразью на предмет заражения хостов и использования в своих целях. Ставьте firewall нормальный и ваши волосы будут в порядке... |
| ||
| забыл вирусы, куки, закладки, и троянские кони ;-) |
| ||
| Пашка, ЛОЛ!! |
| ||
| Андрюха, не ужели не слышал отрывок лекции про интернет? :) http://www.realcoding.net/downloads/internet.mp3 рекомендую :) |
| ||
| слышал конечно, потому и говорю ЛОЛ! :)) |
| ||
| ребят, а это не пресловутый гондурас у вас чешется? :-) ну сканирования, ну и фигли? говорят у них (хакеров) в праздники обострение случается... и, кого не прочитаешь, ить у каждого файрвол стоит, и всякому лень узнать что же это в нём такое происходит... так может пусть файрвол файрволит сам по себе, а знания эти, ну их нафик? ведь типичнейший гондурас, меньше знаешь крепче спишь же ж ;-) кстати, на счет раньше, есть же сервис штормов, там отслеживают... дык и раньше жилось не сладко ;-) |
| ||
| Санька, у меня наоборот: больше знаешь - крепче спишь:) И вообще неужто стремление к знанию есть грех? |
| ||
| Санька, у меня наоборот: больше знаешь - крепче спишь:) И вообще неужто стремление к знанию есть грех? Тогда я бы сюда не писал. |
| ||
| а это из кого цитата Сам бы разобрался но это трудно и долго. ? :-) и, кстати, о грехе. так это религия мешает воспользоваться поисковыми серверами? или она мешает самоопределиться? тогда возьму на себя смелость определить - мы не первопроходцы интернета. и даже не миллионпервые. всё сделано за нас админами и прочими крутыми дядьками, разжевано неоднократно и обильно разложено в интернете в виде описаний, ответов на часто задаваемые вопросы, и т.п. надо только протянуть руку. как правило. :) итог пользы от общения: 1) необходимость наличия файрвола стала интуитивно понятна. 2) необходимость понимания файрвола зреет, но как таковая сомнительна ;-) я бы на пункте 1) и успокоился, осознав величайшую его пользу, и занялся бы творчеством :-) оглянитесь - народ пишет музыку, стихи, рисует, фотографирует, ... да просто читает книжки, новости, играет или знакомится пра-а-стор же! :-) |
| ||
| У меня вот все иначе... На коммутируемом доступе KMTN Kaspersky Anti-hacker вопит об атаках Лавсаном и другой дрянью примерно раз в полчаса. Теперь на МСС ни гу-гу :)... Кажется, за месяц вообще не было атак (опознанных :)) Видать Коснет предфильтрует трафик... Хотя роутер и регистрирует активность: 2005-01-09 17:45:18 - Ip Spoofing - Source:169.254.47.202 ,0,LAN - Destination:169.254.255.255,0,WAN |
| ||
| глядя на такое я бы сделал две вещи: 1) выбросил касперского 2) пожаловался коснету (опционально - не вижу причин получать дома такой бродкаст) http://jedi.var.ru/forum/topic_show.pl?id=23045 |
| ||
| 1) идеал недостижим: KAH ругаем спецами, наверное, заслуженно. Но pcflank.com говорит, что у меня все ОК... От добра добро искать? 2) а можно по-русски? - про то, что в скобках написано... И 3) можно посоветовать ресурс, где хорошо разжеваны основы (и немного глубже) сетевой безопасности. Хотелось бы понимать dangerous waters... Предупрежден - значит защищен |
| ||
| так а какой ресурс, разве недостаточно /usr/share/doc/HOWTO/ ? про скобки - не знаю уж какой там спуфинг (http://www.ya.ru), но пакет отсюда 169.254.47.202 сюда 169.254.255.255 у Вас на интерфейсе мне подозрителен. я думаю, что не должно быть таких пакетов. |
| ||
| Пардон, а где это? Пытался искать на ftp.kosnet.ru.. Правильно ли я понимаю, что факт такого спуфинга - это повод обратиться в службу тех. поддержки, поскольку это некая угроза/прокол системы безопасности? |
| ||
| так а чего же, обратитесь. за спрос денег не берут, а может и польза будет. с вредительством там строго, и, ежели, подонок в сети завелся, с ним расторгнут договор, ежели вдруг мисконфигурейшин - поправят, ежели Вы накосячили - полечат. полагаю. |
| ||
| Обратился... Мы этмми делами не занимаемся. Забота о безопасности возлагается на пользователя. Хотя, если напишете письменное заявление, передадим в отдел безопасности... Позиция понятная. Но поскольку я еще не дозрел, обращаться не буду. Но буду благодарен за растолкование сути и опасности этого спуфинга. Что сие значит: Ip Spoofing Source:169.254.47.202,0,LAN - Destination:169.254.255.255,0,WAN? Наплевать или что-то предпринимать надо? |
| ||
| так это конечно письменно делать надо, чтобы на той стороне было на что глаз положить. прекрасное место по вопросам мультисети - форум телекома, и дозревания не требуется. туда вот напишите. вопрос, конечно, придётся развернуть. описательно. т.е. ничего особенного. указать софт, логов до и после чуть добавить, логов без рукоприкладства |
| ||
| Ответ support'a: Сей факт не опаснее любой попытки вируса с зараженной машины переселиться на Вашу. Просто в данной ситуации речь идет об адресах, которые Micrisoft считает зарезервированными за локальной сетью (именно из этого диапазона присваивается адрес в случае неудачи присвоения адресной информации через протокол DHCP). Этот трафик генерируется внутри МСС зараженными абонентами. В ближайшее время постараемся его отфильтровать. |
Отправил