Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   FAQ | Сканирование портов (http://forum.oszone.net/showthread.php?t=41602)

antiroot 01-11-2004 18:04 198620

привет, All.

Скажите, плиз,
Для чего провайдеры сканируют порты?

Yustus 01-11-2004 18:08 198621

antiroot
какие именно порты?

могут, например сканить порты, на которых висят всякие трояны и т.п....

antiroot 01-11-2004 18:19 198622

начиная от 1024 и далее......1049......какой им смысл?

Oaxa 02-11-2004 08:06 198623

antiroot
А по каким признакам ты определил, что это именно провайдер?

antiroot 06-11-2004 17:35 198624

Атака на мой комп:
удаленный комп: ip моего прова )) но не шлюз

UTU 09-11-2004 04:09 271404

Я сталкивался с такой фигней, когда провайдер сканирил новых пользователей и делал это время от времени, ну это было в другом городе не в Москве, посоветовал поставить Фоирвол

tetris 09-11-2004 07:49 271433

А почему бы не обратиться с этим вопросом к провайдеру?

unknown bug 09-11-2004 10:54 271501

Если платишь за трафик, то любое сканирование его тебе добавляет, даже если стоит файервол. Так что прову выгодно периодически просканить кого-нить - входящий трафик у тебя увеличивается. По крайней мере у меня в сутки доходит до 3 Мб такого "сканирования" по статистике прова.

Yustus 11-11-2004 14:05 272187

Цитата:

Атака на мой комп:
удаленный комп: ip моего прова )) но не шлюз
Это вовсе не означает, что сканирует тебя твой пров.
Этим вполне может заниматься твой сосед, например, который подключен у того-же провайдера :)

UTU 15-11-2004 03:36 272933

tetris

Ну я например обратился, на тот момент к их провайдеру, который долбил уже дней 7
Они спрашивают, скажите нам IP адрес
Я хорошо (просто точно не записал) но первые пять цифр помнил
Дозваниваюсь, опять сканерят, но IP уже совсем другой в этот же день ( первые пять цифр, регион уже другие) вот так, ну само собой, что первые семь дней до звонка провайдеру был один и тот же IP +- последние две-три цифры.
Да и вот сканерю этот же IP (постоянный) там закрыт порт № 25 (исходящий почты ), так вот, в этом городе у этого прова. возможно получение почты, но не возможно её отправка через Outlook
Вот такая фигня была.

.boffin 25-11-2004 17:19 275358

FAQ | Сканирование портов
 
Хочется вот о чём поговорить… может мой вопрос будет выглядеть немного оффтопом, но это решать модераторам.
Довелось мне как-то столкнуться с такой ситуацией, которая до сих пор остаётся спорным вопросом.
Как-то утром, просматривая логи, я вижу, что ночью была попытка взлома на один из серверов. Первым делом пришлось анализировать ситуацию, откуда шёл источник атаки. Потом сканить весь диапазон адресов, интересующих меня. Взломщик, как оказалось, действовал даже без прокси и сидел на каком-то малоизвестном украинском провайдере. Но вопрос не в этом… пока суть да дело, ко мне позвонил тот самый провайдер и начал угрожать, что с моего ip идёт сканирование в их адрес. Они сказали, что будут вынуждены сообщить моему руководству и меня уволят =)) Ессно у меня этот вопрос решился очень быстро, но вот что делать, если не всегда получается решать так гладко и быстро?
В УК нет статьи, которая гласит о том, что сканирование портов наказуемо, то бишь нет такого закона, который запрещал бы это делать. Это все равно, что подсматривать за кем бы то ни было в окно ;)) (imho)
Последнее время я всё чаще сталкиваюсь с такими ситуациями, что из-за простого безобидного скана у многих возникают крупные неприятности. Например, я знаю администратора, которого уволили с работы только из-за того, что он сканировал того, на кого даже чихнуть нельзя было…
Теперь о сути проблемы: если человек не «подкован» знаниями УК и не умеет достаточно аргументировано изложить причину своих действий, в данном случае мы говорим о скане портов (не путать со сканом на поиск уязвимостей с возможным нанесением какого бы то ни было ущерба) что ему делать в такой ситуации:

1)Быть уверенным в своей невиновности и продолжать сканить всё, что шевелится;
2)Не делать этого вообще (или делать очень аккуратно);
3)Или все же есть какой-нить закон, статья, который бы гласил о том, что эти действия противозаконны?

.boffin 25-11-2004 17:22 275359

ЗЫ: и вот ещё вспомнилось… Всем известный XSpider при сканировании оставляет «следы», которые потом ссыпаются админу в виде логов о системной атаке. Мне пришлось говорить с девелоперами спайдера, они утверждают, что demo-version не способна наносить физический ущерб системе, чего не скажешь о полной коммерческой версии. Вообщем, я с ними соглашусь, т.к. мне тоже не доводилось видеть, чтобы спайдер (демо 7.0) наносил какой-либо вред. Вот первые его версии, однозначно – да. Лично мной тестировался сервер на платформе WinServer 2000. Машина уходила в даун через 10-15 сканирования.
Тоже случилось и с сервером на платформе *nix (в даном случае это был unix, версии точно не помню). Только сервант лёг через 30 мин. К сожалению, логов для анализа у меня нет, т.к. «тестировалась» не моя сеть, а попросить логи у админа, было бы сверх наглостью =)))
И вот опять вопрос, как быть в этом случае? Вероятно, тут будут нужны более веские аргументы? =)

ArtemD 26-11-2004 08:34 275539

статья 272 УК РФ п.1.
Цитата:

Цитата УК РФ
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

из комментарий к данной статье:
Цитата:

Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий:
...
- блокирование информации - обеспечение недоступности к ней, невозможности ее использования в результате запрещения дальнейшего выполнения последовательности команд либо выключения из работы какого-либо устройства, а равно выключения реакции какого-либо устройства ЭВМ, системы или сети ЭВМ при сохранении самой информации;
...
в любом случае все зависит от решения суда и результатов следствия.
мое личное мнение, что отправив чужой сервер в перезагрузку или приостановление работы во время сканирования, вы совершаете уголовнонаказуемое преступление.

WIZARD MAN 28-03-2005 03:22 310602

Не согласен. Если провайдер имеет наглость сканировать Backdor_ы и другие задние места :biggrin: (что пров не сомневаюсь) Это они рискуют влететь по самые помидоры.. А может у меня секретная инфа на компе. А кто запретил защищаться? Меня тоже сканили, пока я им в обратную :moderator Почему так уверен что это пров? Когда мой фаер NIS 2005 заблокировал их IP, я не смог открыть ни одну страницу, и только после разблокировки.. Лучший вариант, послать им страшную месагу, типа: Вы вторглись на территорию охраняемую законом о частной собственности.. И Всё-ё-ё-ё.

Greyman 28-03-2005 06:53 310613

WIZARD MAN
1)Не стоит путать ответное сканирование настоящего атакующего и сканирование из-за ошибок детектров атак в файрволах.
2)
Цитата:

Когда мой фаер NIS 2005 заблокировал их IP, я не смог открыть ни одну страницу, и только после разблокировки..
Типичные симптомы отсутствия доступа к DNS, так что заблокированный IP действительно мог быть IP его DNS-сервера, что не говорит о его злом умысле.
3) Нередки случаи, когда из-за определенных настроек файрволов их детекторы атак сигнализируют о возможной атаке, к-ая таковой на самом деле не является, а разобраться в этом может только достаточно опытный в этих вопросах пользователь. Наиболее типичным примером "атаки" является появление в логах "сканирования" с одного адреса серии (5-10 шт) портов 1000-го диапазона. Как правило это связано лишь с тем, что абсолютно безобидный сервис пытался для обратной сессии открыть порт, к-ый оказался закрыт в настройках того же файр-вола. Т.е. идет попытка создания обратного соединения, соединение блокировано файрволом, сервер не получает ответа и, как следствие, делает попытку соединиться на один из соседних портов. В результате либо удается обнаружить незакрытый порт и установить соединение, либо соединение разрывается по тайм-ауту. Не редко такое наблюдается как раз на DNS- и proxy-серверах.
4) Чтобы отличить реальную атаку от ложного срабатывания, необходимо внимательно разбираться в журналах своего ПСЭ. В приведенном выше примере порядок действий д/б такой: а)обнаружение "атаки" в виде сканирования короткой последовательности портов 1000-го диапазона, б)поиск блокировки соединений в логах ПСЭ, в)должна обнаружится серия блокировок в соответствии с "атакой", смотрим причину блокировки, г) временно отключаем "блокирующее" правило для этого случая, чтобы убедиться что "атака" перестала повторятся, д)сидим и думаем, можно ли поправитт настройки ПСЭ или все оставить как есть, просто игнорируя подобные "атаки".
5) Неопытный пользователь легко может наделать проблем, если попытается применять активные меры к "нарушителям" его спокойствия. В некоторых случаях это может стоить просто отключением от интернета, а в некоторых - даже возбуждением уголовного дела.
6) Сам я очень редко использую детекторы атак, ну а когда настраиваю ПСЭ у пользователей - обязательно отключаю у пользователей их активные части (типа блокировок, ответного сканирования и т.п.). От "хацкеров" достаточно правильно настроенного самого экрана, плюс наличие обновлений системы. От целенаправленных попыток взлома неопытный пользователь не защитится, а вот проблемы из-за срабатывания своей "активной защиты" огрести может. Ну а логи детектора остаются, т.ч. всегда можно восстановить картину событий.


Время: 23:19.

Время: 23:19.
© OSzone.net 2001-