Атаки?
Начать новую тему   Ответить на тему
Список форумов forum.kazancity.net -> xDSL  
Предыдущая тема :: Следующая тема  
Автор Сообщение
Zull
[Редкий гость]


Зарегистрирован: 02.03.2005
Сообщения: 30

СообщениеДобавлено: Сб Мар 18, 2006 23:26    Заголовок сообщения: Атаки? Ответить с цитатой

03/18/2006 23:21:06 83.69.98.238:4459 83.69.102.43:445 ACCESS BLOCK
03/18/2006 23:20:43 83.69.119.225:3211 83.69.102.43:135 ACCESS BLOCK
03/18/2006 23:20:39 83.69.119.225:3211 83.69.102.43:135 ACCESS BLOCK
01.01.2000 0:45 68.251.110.88:0 83.69.102.43:1026 ACCESS BLOCK
01.01.2000 0:45 68.251.110.88:0 83.69.102.43:1025 ACCESS BLOCK
01.01.2000 0:45 83.69.95.191:2631 83.69.102.43:445 ACCESS BLOCK
01.01.2000 0:45 83.69.95.191:2631 83.69.102.43:445 ACCESS BLOCK
01.01.2000 0:44 83.69.119.134:2979 83.69.102.43:445 ACCESS BLOCK

на дату/время особо не смотрите - недавно поправил
большое количество пакетов с соседских адресов идет
оно так и должно быть?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Сб Мар 18, 2006 23:52    Заголовок сообщения: Ответить с цитатой

Скорее всего заражённые машины пользователей. Ктомуже если у вас машина защищена фаерволом чего беспокоиться?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Glock-t
Internetwork expert


Зарегистрирован: 04.11.2004
Сообщения: 476

СообщениеДобавлено: Вс Мар 19, 2006 11:44    Заголовок сообщения: Ответить с цитатой

Стандартная ситуация, зараженная очередным "лишаем" машина сканирует сеть на предмет нахождения других машин с OS Windows и в с лучае нахождения пытается эксплуатировать возможную ошибку msrpc
03/18/2006 23:21:06 [src address] 83.69.98.238: [src port] 4459 [dst address] 83.69.102.43: [dst port] 445 ACCESS BLOCK А ваш Firewall это дело не пропустил. Беспокоиться не о чем.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
daledale
[Участник]


Зарегистрирован: 02.09.2007
Сообщения: 127
Откуда: Казань

СообщениеДобавлено: Вт Фев 07, 2012 19:43    Заголовок сообщения: Ответить с цитатой

Доброго. Можно узнать что это за IP* 78.138.154.23 (хост-нэйм: smilodon.kgts.ru) сканит меня уже с 15.01.2012, причём судя по логам фаерволла идёт постоянный последовательный скан всех портов по-порядку.
* - из нашей ТТК подсети.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Вт Фев 07, 2012 20:01    Заголовок сообщения: Ответить с цитатой

Чёта мне так кажется ваш фаервол либо привирает либо паникует лишнего.
Эта система обслуживает зону retracker.local для улучшения работы торрентопобоных систем. Такчто предполагаю что если вы пользуетесь торентами то вот он у вас там и фигурирует.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
daledale
[Участник]


Зарегистрирован: 02.09.2007
Сообщения: 127
Откуда: Казань

СообщениеДобавлено: Вт Фев 07, 2012 20:31    Заголовок сообщения: Ответить с цитатой

AnLeAl писал(а):
Чёта мне так кажется ваш фаервол либо привирает либо паникует лишнего.
Эта система обслуживает зону retracker.local для улучшения работы торрентопобоных систем. Такчто предполагаю что если вы пользуетесь торентами то вот он у вас там и фигурирует.

Спасибо за ответ, но вот интересная штука. Торрентами да, пользуюсь. Но пользуюсь достаточно давно, а т.н. атаки начались именно с 15.01.2012. Настройки фаерволла не менялись, правда примерно +/- в это время изменилась моя внутренняя домашняя локальная подсеть (модем роутером настроен, в модеме включен фаервол) + программный фаерволл установлен в ОС.))
Вот частичный screen лога (полный лог значительно больше, за сегодня только более 10000 попыток обращений к разным портам):
кликнуть по вертикальному столбику для увеличения

ps для торрент клиента порт в модеме проброшен + в программном фаерволее этот порт тоже открыт.
=ссылку поправил
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Вт Фев 07, 2012 20:41    Заголовок сообщения: Ответить с цитатой

Ну давайте думать логически.
Допустим вы действительно настроили порт форвард только одного порта, а не тупо внесли себя в dmz у модема.
Как тогда сервер мог бы достучаться до вашего компа за модемом - роутером внутри вашей локалки(учитывая что сервер в иной подсети сидит )? Smile

Тут скорей всего всё выглядит так, ваш торент клиент обращается в анонсеру, тот ему чото пытается ответить, однако именно ответы которые приходят по какому-то поводу блокирует ваш фаервол, почему так, рекомендую поинтересоваться у него.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
daledale
[Участник]


Зарегистрирован: 02.09.2007
Сообщения: 127
Откуда: Казань

СообщениеДобавлено: Вт Фев 07, 2012 20:51    Заголовок сообщения: Ответить с цитатой

AnLeAl, Спасибо за ответ.
AnLeAl писал(а):
Ну давайте думать логически.
Допустим вы действительно настроили порт форвард только одного порта, а не тупо внесли себя в dmz у модема.

Именно разрешён один конкретный порт для торрент клиента utorrent (ну ещё парочка других портов для другого софта). Локальный IP компа в DMZ зону роутера не добавлен, да даже больше в DMZ зону роутера вообще никакие локальные IP не добавлены.
AnLeAl писал(а):
Как тогда сервер мог бы достучаться до вашего компа за модемом - роутером внутри вашей локалки

Наверное я чето не понимаю, а с какой это радости некоему серверу нужно достукиваться до моего локального компа? Например для торрент клиента по порту, отличным от указанному в самом клиенте и явно разрешённому в фаерволлах?
AnLeAl писал(а):
(учитывая что сервер в иной подсети сидит )? Smile

Может опять же че не понимаю, но ведь для этого в роутере включен NAT?!
AnLeAl писал(а):
Тут скорей всего всё выглядит так, ваш торент клиент обращается в анонсеру, тот ему чото пытается ответить, однако именно ответы которые приходят по какому-то поводу блокирует ваш фаервол, почему так, рекомендую поинтересоваться у него.

Честно скажу тут не совсем понял или почему этот т.н. анонсер торрент клиента хочет ответить тоже по какомй-то другому порту, опять же отличному от явно указанного и разрешённого в торрент клиенте? Правда последний вопрос наверное не к вам.


Последний раз редактировалось: daledale (Вт Фев 07, 2012 21:00), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Вт Фев 07, 2012 20:59    Заголовок сообщения: Ответить с цитатой

daledale писал(а):

Именно разрешён один конкретный порт для торрент клиента utorrent (ну ещё парочка других портов для другого софта). Локальный IP компа в DMZ зону роутера не добавлен, в DMZ зону роутера вообще никаких локальных IP нет.

Тот порт что вы разрешили торент клиенту, предназначен чтобы у нему цеплялись другие клиенты. Но вы какбы не забывайте что при этом торент клиент должен сходить куда-то к торент трекеру и дёрнуть анонсер чтобы получить список адресов, делает он это скорей всего открывая для этого совершенно иные порты.

Цитата:

Наверное я чето не понимаю, а че это некоему серверу нужно достукиваться до моего локального компа?

Это если предположить что ему ваш комп зачем-то внезапно понадобился.
ТО большой ещё вопрос как бы он это смог сделать при должной настройке.

Цитата:

Может опять же че не понимаю, но ведь для этого в роутере включен NAT?!

Для чего для этого?

Цитата:

Честно скажу тут не совсем понял.

На мой взгляд не совсем корректное отрезание сетевой активности вашему торент клиенту вашим же фаерволом.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
daledale
[Участник]


Зарегистрирован: 02.09.2007
Сообщения: 127
Откуда: Казань

СообщениеДобавлено: Вт Фев 07, 2012 21:07    Заголовок сообщения: Ответить с цитатой

Спасибо.
AnLeAl писал(а):
Тот порт что вы разрешили торент клиенту, предназначен чтобы у нему цеплялись другие клиенты. Но вы какбы не забывайте что при этом торент клиент должен сходить куда-то к торент трекеру и дёрнуть анонсер чтобы получить список адресов, делает он это скорей всего открывая для этого совершенно иные порты.

Тут поясню, программный фаерволл блокирует только направление извне. Изнутри наружу изначально всё открыто и разрешено.
AnLeAl писал(а):

Для чего для этого?

Ну изначальная формулировка была такая что "что сервер в иной подсети сидит" и "как ему достучаться к моему локальному компу за роутером с локальным IP" - я и ответил, NAT - преобразование адресов. Embarassed
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Ср Фев 08, 2012 07:03    Заголовок сообщения: Ответить с цитатой

daledale писал(а):

Тут поясню, программный фаерволл блокирует только направление извне. Изнутри наружу изначально всё открыто и разрешено.

Вот в том то и сомнения, какраз ощущение что у вас клиент пытается что-то запросить у ретрекера, и все попытки ответить заблокированы, вполне возможно пакеты какраз уходят во вне от вас, а в обратную ваш фаервол считает входящие пакеты - злом блокируя их. А клиент торентовый не понимая что происходит спрашивает заного и заного.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
daledale
[Участник]


Зарегистрирован: 02.09.2007
Сообщения: 127
Откуда: Казань

СообщениеДобавлено: Ср Фев 08, 2012 08:22    Заголовок сообщения: Ответить с цитатой

AnLeAl писал(а):

А клиент торентовый не понимая что происходит спрашивает заного и заного.

Как-то он странно "спрашивает", пробегаясь чуть ли не по всем портам? Точнее, странно то, что некий внешний сервер пытается ответить, пробегаясь по всем портам...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Ср Фев 08, 2012 08:45    Заголовок сообщения: Ответить с цитатой

Тут всё просто. Если грубо то можно представить это так:
торент клиент порт 2222 -> трекер 80 - Есть кто?
торент клиент порт 2222 <- трекер 80 - Есть. (Этот ответ был заблокирован фаерволом и помечен как атака)
Недождавшись ответа торент клиент пробует с другого порта спросить ещё раз:
торент клиент порт 2221 -> трекер 80 - Есть кто?
торент клиент порт 2221 <- трекер 80 - Есть. (Этот ответ был тоже заблочен.)

Ну и повторение итерации многократно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
daledale
[Участник]


Зарегистрирован: 02.09.2007
Сообщения: 127
Откуда: Казань

СообщениеДобавлено: Ср Фев 08, 2012 09:21    Заголовок сообщения: Ответить с цитатой

AnLeAl писал(а):
Тут всё просто. Если грубо то можно представить это так:
торент клиент порт 2222 -> трекер 80 - Есть кто?
торент клиент порт 2222 <- трекер 80 - Есть. (Этот ответ был заблокирован фаерволом и помечен как атака)
Недождавшись ответа торент клиент пробует с другого порта спросить ещё раз:
торент клиент порт 2221 -> трекер 80 - Есть кто?
торент клиент порт 2221 <- трекер 80 - Есть. (Этот ответ был тоже заблочен.)

Ну и повторение итерации многократно.

Ясно. Спасибо за разъяснения.

Добавлено:

хотя так мысли вслух, можете не отвечать....
....
AnLeAl писал(а):

торент клиент порт 2222 <- трекер 80 - Есть. (Этот ответ был заблокирован фаерволом и помечен как атака)
Недождавшись ответа торент клиент пробует с другого порта спросить ещё раз:

хм....почему интересно ответ от трекера, не идёт на явно открытый порт торрент-клиента, а на некий другой порт?
ps Программный фаерволл настроен так, что на открытый извне порт в нём, можно подключаться с абсолютно любого IP снаружи, а не только с явно разрешённых.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AnLeAl
Server Admin


Зарегистрирован: 03.11.2004
Сообщения: 2215
Откуда: JSC Kazan GTS

СообщениеДобавлено: Ср Фев 08, 2012 16:11    Заголовок сообщения: Ответить с цитатой

Яже отвечал выше парой постов, тот порт что открыли вы, предназначен для прямого соединения с торент клиентами другими. Сам торент клиент может инициировать соединения чтобы куда-то сходить и чего-то сдёрнуть с какого угодно порта в вашей системе.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Список форумов forum.kazancity.net -> xDSL  
Начать новую тему   Ответить на тему Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах