WIZARD MAN
1)Не стоит путать ответное сканирование настоящего атакующего и сканирование из-за ошибок детектров атак в файрволах.
2)
Цитата:
|
Когда мой фаер NIS 2005 заблокировал их IP, я не смог открыть ни одну страницу, и только после разблокировки..
|
Типичные симптомы отсутствия доступа к DNS, так что заблокированный IP действительно мог быть IP его DNS-сервера, что не говорит о его злом умысле.
3) Нередки случаи, когда из-за определенных настроек файрволов их детекторы атак сигнализируют о возможной атаке, к-ая таковой на самом деле не является, а разобраться в этом может только достаточно опытный в этих вопросах пользователь. Наиболее типичным примером "атаки" является появление в логах "сканирования" с одного адреса серии (5-10 шт) портов 1000-го диапазона. Как правило это связано лишь с тем, что абсолютно безобидный сервис пытался для обратной сессии открыть порт, к-ый оказался закрыт в настройках того же файр-вола. Т.е. идет попытка создания обратного соединения, соединение блокировано файрволом, сервер не получает ответа и, как следствие, делает попытку соединиться на один из соседних портов. В результате либо удается обнаружить незакрытый порт и установить соединение, либо соединение разрывается по тайм-ауту. Не редко такое наблюдается как раз на DNS- и proxy-серверах.
4) Чтобы отличить реальную атаку от ложного срабатывания, необходимо внимательно разбираться в журналах своего ПСЭ. В приведенном выше примере порядок действий д/б такой: а)обнаружение "атаки" в виде сканирования короткой последовательности портов 1000-го диапазона, б)поиск блокировки соединений в логах ПСЭ, в)должна обнаружится серия блокировок в соответствии с "атакой", смотрим причину блокировки, г) временно отключаем "блокирующее" правило для этого случая, чтобы убедиться что "атака" перестала повторятся, д)сидим и думаем, можно ли поправитт настройки ПСЭ или все оставить как есть, просто игнорируя подобные "атаки".
5) Неопытный пользователь легко может наделать проблем, если попытается применять активные меры к "нарушителям" его спокойствия. В некоторых случаях это может стоить просто отключением от интернета, а в некоторых - даже возбуждением уголовного дела.
6) Сам я очень редко использую детекторы атак, ну а когда настраиваю ПСЭ у пользователей - обязательно отключаю у пользователей их активные части (типа блокировок, ответного сканирования и т.п.). От "хацкеров" достаточно правильно настроенного самого экрана, плюс наличие обновлений системы. От целенаправленных попыток взлома неопытный пользователь не защитится, а вот проблемы из-за срабатывания своей "активной защиты" огрести может. Ну а логи детектора остаются, т.ч. всегда можно восстановить картину событий.
