привет, All.
Скажите, плиз, Для чего провайдеры сканируют порты? |
antiroot
какие именно порты? могут, например сканить порты, на которых висят всякие трояны и т.п.... |
начиная от 1024 и далее......1049......какой им смысл?
|
antiroot
А по каким признакам ты определил, что это именно провайдер? |
Атака на мой комп:
удаленный комп: ip моего прова )) но не шлюз |
Я сталкивался с такой фигней, когда провайдер сканирил новых пользователей и делал это время от времени, ну это было в другом городе не в Москве, посоветовал поставить Фоирвол
|
А почему бы не обратиться с этим вопросом к провайдеру?
|
Если платишь за трафик, то любое сканирование его тебе добавляет, даже если стоит файервол. Так что прову выгодно периодически просканить кого-нить - входящий трафик у тебя увеличивается. По крайней мере у меня в сутки доходит до 3 Мб такого "сканирования" по статистике прова.
|
Цитата:
Этим вполне может заниматься твой сосед, например, который подключен у того-же провайдера :) |
tetris
Ну я например обратился, на тот момент к их провайдеру, который долбил уже дней 7 Они спрашивают, скажите нам IP адрес Я хорошо (просто точно не записал) но первые пять цифр помнил Дозваниваюсь, опять сканерят, но IP уже совсем другой в этот же день ( первые пять цифр, регион уже другие) вот так, ну само собой, что первые семь дней до звонка провайдеру был один и тот же IP +- последние две-три цифры. Да и вот сканерю этот же IP (постоянный) там закрыт порт № 25 (исходящий почты ), так вот, в этом городе у этого прова. возможно получение почты, но не возможно её отправка через Outlook Вот такая фигня была. |
FAQ | Сканирование портов
Хочется вот о чём поговорить… может мой вопрос будет выглядеть немного оффтопом, но это решать модераторам.
Довелось мне как-то столкнуться с такой ситуацией, которая до сих пор остаётся спорным вопросом. Как-то утром, просматривая логи, я вижу, что ночью была попытка взлома на один из серверов. Первым делом пришлось анализировать ситуацию, откуда шёл источник атаки. Потом сканить весь диапазон адресов, интересующих меня. Взломщик, как оказалось, действовал даже без прокси и сидел на каком-то малоизвестном украинском провайдере. Но вопрос не в этом… пока суть да дело, ко мне позвонил тот самый провайдер и начал угрожать, что с моего ip идёт сканирование в их адрес. Они сказали, что будут вынуждены сообщить моему руководству и меня уволят =)) Ессно у меня этот вопрос решился очень быстро, но вот что делать, если не всегда получается решать так гладко и быстро? В УК нет статьи, которая гласит о том, что сканирование портов наказуемо, то бишь нет такого закона, который запрещал бы это делать. Это все равно, что подсматривать за кем бы то ни было в окно ;)) (imho) Последнее время я всё чаще сталкиваюсь с такими ситуациями, что из-за простого безобидного скана у многих возникают крупные неприятности. Например, я знаю администратора, которого уволили с работы только из-за того, что он сканировал того, на кого даже чихнуть нельзя было… Теперь о сути проблемы: если человек не «подкован» знаниями УК и не умеет достаточно аргументировано изложить причину своих действий, в данном случае мы говорим о скане портов (не путать со сканом на поиск уязвимостей с возможным нанесением какого бы то ни было ущерба) что ему делать в такой ситуации: 1)Быть уверенным в своей невиновности и продолжать сканить всё, что шевелится; 2)Не делать этого вообще (или делать очень аккуратно); 3)Или все же есть какой-нить закон, статья, который бы гласил о том, что эти действия противозаконны? |
ЗЫ: и вот ещё вспомнилось… Всем известный XSpider при сканировании оставляет «следы», которые потом ссыпаются админу в виде логов о системной атаке. Мне пришлось говорить с девелоперами спайдера, они утверждают, что demo-version не способна наносить физический ущерб системе, чего не скажешь о полной коммерческой версии. Вообщем, я с ними соглашусь, т.к. мне тоже не доводилось видеть, чтобы спайдер (демо 7.0) наносил какой-либо вред. Вот первые его версии, однозначно – да. Лично мной тестировался сервер на платформе WinServer 2000. Машина уходила в даун через 10-15 сканирования.
Тоже случилось и с сервером на платформе *nix (в даном случае это был unix, версии точно не помню). Только сервант лёг через 30 мин. К сожалению, логов для анализа у меня нет, т.к. «тестировалась» не моя сеть, а попросить логи у админа, было бы сверх наглостью =))) И вот опять вопрос, как быть в этом случае? Вероятно, тут будут нужны более веские аргументы? =) |
статья 272 УК РФ п.1.
Цитата:
Цитата:
мое личное мнение, что отправив чужой сервер в перезагрузку или приостановление работы во время сканирования, вы совершаете уголовнонаказуемое преступление. |
Не согласен. Если провайдер имеет наглость сканировать Backdor_ы и другие задние места :biggrin: (что пров не сомневаюсь) Это они рискуют влететь по самые помидоры.. А может у меня секретная инфа на компе. А кто запретил защищаться? Меня тоже сканили, пока я им в обратную :moderator Почему так уверен что это пров? Когда мой фаер NIS 2005 заблокировал их IP, я не смог открыть ни одну страницу, и только после разблокировки.. Лучший вариант, послать им страшную месагу, типа: Вы вторглись на территорию охраняемую законом о частной собственности.. И Всё-ё-ё-ё.
|
WIZARD MAN
1)Не стоит путать ответное сканирование настоящего атакующего и сканирование из-за ошибок детектров атак в файрволах. 2) Цитата:
3) Нередки случаи, когда из-за определенных настроек файрволов их детекторы атак сигнализируют о возможной атаке, к-ая таковой на самом деле не является, а разобраться в этом может только достаточно опытный в этих вопросах пользователь. Наиболее типичным примером "атаки" является появление в логах "сканирования" с одного адреса серии (5-10 шт) портов 1000-го диапазона. Как правило это связано лишь с тем, что абсолютно безобидный сервис пытался для обратной сессии открыть порт, к-ый оказался закрыт в настройках того же файр-вола. Т.е. идет попытка создания обратного соединения, соединение блокировано файрволом, сервер не получает ответа и, как следствие, делает попытку соединиться на один из соседних портов. В результате либо удается обнаружить незакрытый порт и установить соединение, либо соединение разрывается по тайм-ауту. Не редко такое наблюдается как раз на DNS- и proxy-серверах. 4) Чтобы отличить реальную атаку от ложного срабатывания, необходимо внимательно разбираться в журналах своего ПСЭ. В приведенном выше примере порядок действий д/б такой: а)обнаружение "атаки" в виде сканирования короткой последовательности портов 1000-го диапазона, б)поиск блокировки соединений в логах ПСЭ, в)должна обнаружится серия блокировок в соответствии с "атакой", смотрим причину блокировки, г) временно отключаем "блокирующее" правило для этого случая, чтобы убедиться что "атака" перестала повторятся, д)сидим и думаем, можно ли поправитт настройки ПСЭ или все оставить как есть, просто игнорируя подобные "атаки". 5) Неопытный пользователь легко может наделать проблем, если попытается применять активные меры к "нарушителям" его спокойствия. В некоторых случаях это может стоить просто отключением от интернета, а в некоторых - даже возбуждением уголовного дела. 6) Сам я очень редко использую детекторы атак, ну а когда настраиваю ПСЭ у пользователей - обязательно отключаю у пользователей их активные части (типа блокировок, ответного сканирования и т.п.). От "хацкеров" достаточно правильно настроенного самого экрана, плюс наличие обновлений системы. От целенаправленных попыток взлома неопытный пользователь не защитится, а вот проблемы из-за срабатывания своей "активной защиты" огрести может. Ну а логи детектора остаются, т.ч. всегда можно восстановить картину событий. |
Время: 23:19. |
Время: 23:19.
© OSzone.net 2001-