Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Атакующий заблокирован) (http://forum.oszone.net/showthread.php?t=58720)

Mgrig 28-12-2005 23:36 387661
Атакующий заблокирован)
 
21:52:19 - Атакующий заблокирован - Обнаружено сканирование портов с адреса 74.34.150.167 - (порты: UDP (1025, 1026))
Файрвол говорит мне в этом сообщении IP атакующего меня человека, правильно? Что обозначает фраза "Атакующий заблокирован"? Что можно(нужно) делать в связи с такими ... событиями?

Blast 28-12-2005 23:41 387663
Цитата:
Что обозначает фраза "Атакующий заблокирован"?
собственно именно то что и написано - заблокирован
Цитата:
Что можно(нужно) делать в связи с такими ... событиями?
наверное просто испытывать некую гордость за файервол что он справился, то есть это просто уведомление о том что был скан портов и файер это дело пресек

Mgrig 28-12-2005 23:48 387667
Что такое "заблокирован"? Его машина перестала работать, зависла или что-то другое у него случилось? Эти порты, которые он сканирует - они какие-нибудь особенные, требуют особого внимания?

estableshitt 29-12-2005 02:59 387714
Заблокирован - это значит твоя система игнорирует любой трафик с его ай пи на определенное время установленное в фаерволе(для него твой камп стал выключен). А на счет портов, то мне о их особенности ничего неизвестно...

Mgrig 29-12-2005 12:48 387831
Насчет "заблокирован" разобрались. Спасибо :)
А присутствуют еще вопросы по файрволу. Наверно, лучше на специализированном форуме их задавать;)
19.12.2005 18:34:01 - Атакующий заблокирован - Обнаружено сканирование портов с адреса - ad.strict.tbn.ru (порты: TCP (1741, 1733))
Теперь файрвол адрес мне какой-то говорит :idontnow:
Как мне узнавать какие порты закрыть можно, как их закрыть?..

Mgrig 29-12-2005 12:54 387833
И как узнать, кто меня сканирует?!!!

MuIIIeHb 29-12-2005 13:51 387846
Mgrig
Насколько я понял, то речь идёт о Agnitum Outpost Firewall. В нём встроена хорошая справка на русском языке. Вот пример ответа на вопрос "Порт" (как раз про закрытие портов)
Цитата:
Настройка глобальных правил
Цитата:

Глобальные правила брандмауэра применяются ко всем процессам и приложениям на вашем компьютере, которые запрашивают доступ в сеть. Например, создав соответствующие правила, вы можете блокировать весь трафик, идущий по данному протоколу или с данного удаленного узла. Некоторые из установок глобальных правил, подобранные оптимальным образом,document.write(PRODUCT) Outpost Firewall Pro задает по умолчанию. Для того, чтобы просмотреть список глобальных правил, щелкните на панели инструментов кнопку Параметры, выберите вкладку Системные и щелкните Параметры в группе Глобальные правила и доступ к rawsocket.

[img]mk:@MSITStore:c:program%20filesagnitumoutpost%20firewallhelpofp_ru.chm::/Images/_minusCold.gif[/img] Добавление нового правила

Для того, чтобы добавить новое правило, щелкните Добавить в окне диалога Глобальные правила. В окне редактирования правила укажите следующие параметры:

[img]mk:@MSITStore:c:program%20filesagnitumoutpost%20firewallhelpofp_ru.chm::/Images/_minusCold.gif[/img] Выберите событие для правила

Вы можете выбрать следующие критерии:
  • Где протокол (с возможностью задать тип протокола для IP-протокола)
  • Где направление (с возможностью задать тип пакета для исходящего трафика)
  • Где удаленный адрес
  • Где удаленный порт
  • Где локальный адрес
  • Где локальный порт
  • Где интервал времени
  • Где локальный порт совпадает с удаленным
Выберите критерий для события и задайте нужные настройки, щелкнув на подчеркнутое значение в поле Описание правила.

[img]mk:@MSITStore:c:program%20filesagnitumoutpost%20firewallhelpofp_ru.chm::/Images/_note.gif[/img] Внимание:
  • Настройки для локального и удаленного портов можно изменить только для протоколов TCP или UDP.
[img]mk:@MSITStore:c:program%20filesagnitumoutpost%20firewallhelpofp_ru.chm::/Images/_minusCold.gif[/img] Выберите действие для правила

Вы можете выбрать следующие действия:
  • Разрешить эти данные - Разрешает это соединение.
  • Блокировать эти данные - Блокирует соединение (источник не уведомляется, создавая видимость, что пакет не достигнул адресата).
  • Сообщить - Уведомляет, когда правило сработало.
  • Запустить приложение - Когда правило сработало, запускает заданное приложение с заданными в командной строке параметрами.
  • Пометить правило как правило с высоким приоритетом - Устанавливает правило, имеющее более высокий приоритет по сравнению с правилами для приложений (правила для приложений по умолчанию имеют наивысший приоритет).
  • Динамическая фильтрация - Включает "динамическую фильтрацию" для этого приложения (после того, как приложение установит соединение с удаленным сервером, все входящие данные с сервера на открытый приложением порт будут разрешены или блокированы согласно установленному правилу).
  • Игнорировать Контроль компонентов - Заставляетdocument.write(PRODUCT) Outpost Firewall Pro игнорировать Контроль компонентов во время этого соединения.
Выберите действия - соответствующие сообщения появятся в поле Описание правила. Если вы хотите, чтобы действием на событие стал запуск определенного приложения или команды, поставьте флажок в соответствующем поле и укажите приложение или команду, нажав на подчеркнутое значение в поле Описание правила.

Убедитесь, что в поле Описание правила не осталось неопределенных параметров.document.write(PRODUCT) Outpost Firewall Pro автоматически сгенерирует Имя правила на основе заданных параметров.

Щелкните OK, чтобы сохранить правило. Правило отобразится в списке.

XPEHOMETP 16-01-2006 11:47 392996
Сканирование портов в локальной сети - обычное дело. А чтобы извне лезли ни с того ни с сего - это уже подозрительно. Хорошо бы провериться на счет шпионов и троянов.

_Astronom_ 05-09-2007 11:05 638470
Подобная ситуация со сканированием портов полностью блокирует входящий и исходящий трафик. Подключение к интернету есть, но зайти даже на любую странице в инете невозможно. :( С проблемой разобратся немогу. Как правильно настроить "Детектор атак"? Стоит: Outpost Security Suite Pro 2007 (5.0.1252.7915.619)

ShaddyR 05-09-2007 12:38 638529
_Astronom_, внеси DNS-сервера твоего провайдера в список доверенных. Или запрети детектору блокировать атакующего.

_Astronom_ 05-09-2007 14:31 638598
Сделаю, но это не отразится на безопасности? Ведь тогда фаервол будет пропускать сканирование и запросы на подключение? Нельзя параметры настроить так чтобы было видно атаки и сканировани, но трафик не падал? :)

Greyman 05-09-2007 22:16 638854
_Astronom_
Аутпост неоднократно замечен в ложных срабатываниях детектора атак от DNS и PROXY серверов. Если ты пользуешся серваками провайдера, то внесением их в доверенные ты свою защищенность не ухудшишь. Если же ты хочешь продолжать по прежнему видеть "атаки" со своих DNS и прокси, то просто:
Цитата:
Цитата ShaddyR
Или запрети детектору блокировать атакующего.
Ни DNS, ни PROXY теперь при ложных срабатываниях блакироваться не будут, а значит и инет не отрубится... Зато немного упадет твоя защищенность, т. к. потенциальный настоящий атакующий сможет свободно тебя сканить...


Время: 17:33.

Время: 17:33.
© OSzone.net 2001-