НГС.Форум /Компьютеры Интернет Связь / Программное обеспечение /

Outpost (сообщения об атаках и сканировании портов

Печать RSS Деревом

WAndreyW
activist
Сообщений: 395
11.02.08 19:15
Регулярно, каждые 5 минут, появляются сообщения, что идет сканирование или атака. Почти всегда это с серверов, которые открыты в браузере (форум нгс, cn.ru) Защитник их блокирует, приходиться вручную снимать блокировку.

Кто подскажет что это за порты и что происходит - для сервера делают такое сканирование? Почти всегда это порты порядка 3xxx, 4xxx

18:58:31 Rst атака 195.93.187.1 -> 195.93.187.1
18:56:15 Сканирование портов 195.93.187.1 TCP (4869, 4866, 4884, 4865, 4815, 4814)
18:46:50 Rst атака 195.93.187.1 -> 195.93.187.1
18:45:59 Сканирование портов 195.93.187.1 TCP (4869, 4866, 4884, 4865, 4815, 4814)
18:35:35 Сканирование портов 195.93.187.1 TCP (4872, 4866, 4884, 4865, 4815, 4814)
18:35:06 Rst атака 195.93.187.1 -> 195.93.187.1
18:21:06 Rst атака 195.93.187.1 -> 195.93.187.1
18:10:50 Rst атака 195.93.187.1 -> 195.93.187.1
17:50:46 Rst атака 195.93.187.1 -> 195.93.187.1
17:40:30 Rst атака 195.93.187.1 -> 195.93.187.1

Вот этот вопрос получилось написать и отправить на форум с 3 раза, до этого нажимал отправить, сообщение улетало в никуда - после разблокировки писал снова.
КопироватьСсылка
Рассказать друзьям
marselAlex
Анонимный пользователь
13.02.08 08:36Ответ на сообщение Outpost (сообщения об атаках и сканировании портов пользователя WAndreyW
А у Вас, случайно, radmin не установлен? Очень на его работу похоже :-) И Сайты здесь не при чем
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 10:24Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя marselAlex
Радмина не стоит.

Ответ нашел на офф сайте.

http://www.agnitum.ru/support/kb/article.php?id=1000193&lang=ru

Атака "RST"
Эта уязвимость может позволить атакующему создать условия для отказа от обслуживания установленных TCP-соединений, что влечет за собой преждевременный разрыв сессии. Так как атака использует случайный IP-адрес в качестве источника, возможно источник (если он существует) отправит обратно на сервер пакет обрыва соединения (RST/ACK), сигнализирующий о том, что он не отправлял запрос на соединение. Наиболее вероятно, что IP-адрес не соответствует ни одному из активных соединений (так как это случайное число); сервер будет пытаться инициировать соединение заново, отправляя обратно на фиктивный исходный IP-адрес пакеты SYN/ACK, а затем RST/ACK (так как не получит обратно ни одного ACK-пакета). Все это создает незавершенные или полуоткрытые соединения. Атаки RST могут также вызывать постоянное изменение маршрута маршрутизатором, что отнимает его ресурсы.

Не понятно, почему приходит отчет об обнаружении атаки. Я так понимаю программу то же не просто так делали и такие сообщения не случайны?
КопироватьСсылка
Рассказать друзьям
marselAlex
Анонимный пользователь
13.02.08 11:41Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
Ну так ищите у себя. У вас адрес источника и атакуемый адрес -- совпадают.
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 13:29Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя marselAlex
В журнале не показывает атакуемый.
Записи только такие.
11:32:15 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:33:11 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:36:55 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1060, 1057, 1408, 1487, 1486, 1405))
11:42:31 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:43:27 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:45:59 Атакующий заблокирован Обнаружена Rst атака с turizm.ngs.ru -> turizm.ngs.ru
11:47:23 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1408, 1487, 1486, 1405, 1060, 1057))
11:52:47 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:53:43 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:57:43 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1057, 1408, 1487, 1486, 1405, 1060))
12:03:03 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
12:03:59 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
12:08:11 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1060, 1057, 1408, 1487, 1486, 1405))
КопироватьСсылка
Рассказать друзьям
Mad_Dollar
guru
Сообщений: 4281
13.02.08 13:55Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
В ответ на: Так как атака использует случайный IP-адрес в качестве источника
В ответ на: 11:32:15 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:33:11 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:36:55 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1060, 1057, 1408, 1487, 1486, 1405))
Тайный смысл атаки в том, что кто-то отправляет SYN пакеты с поддельным обратным адресом - если компьютеры будут отвечать на это то отвечать в адреса ixbt.ru, turizm.ngs.ru, service.sibnet.ru итд, что должно привести к увеличению запросов на эти сервера и вывести их из обслуживания. А в простонародье - кто-то у вас в сегменте ваше сети заразу поймал.
Non solum oportet, sed etiam necessese est
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 14:08Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя Mad_Dollar
видимо так и есть.

Но. У меня в сети нет больше компов. В инете через вебстрим. Соответственно внешний IP. Потом у меня стоит модем в режиме роутера, и все.

Пока есть идея закрыть порты в модеме, те на которые наиболее часто приходят такие пакеты.
КопироватьСсылка
Рассказать друзьям
marselAlex
Анонимный пользователь
13.02.08 14:17Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
значит вы и поймали. Теперь ваш комп -- один из компьютеров ботнета
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 14:27Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя marselAlex
Еще веселее.

Антивирус стоит, но это ладно.
Но фаерволл почему не говорит про исходящие посылки?

Разве не могут пакеты приходить из внешнего интернета?

Раз так стало интересно, то поставлю эксперимент, закрою порты модема.
КопироватьСсылка
Рассказать друзьям
Mad_Dollar
guru
Сообщений: 4281
13.02.08 16:52Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
)))) есть такая фигня - интерфейс loopback - это тот случай когда до физической передачи пакета не доходит, он из очереди на отправку перемещается в очередь приемки. Видимо аутпост не считает нужным проверять пакеты "обратной петли" - вот вы сами себе и посылаете в локалхост син-запросы )))
Non solum oportet, sed etiam necessese est
Исправлено пользователем Mad_Dollar (13.02.08 16:52)
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 17:54Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя Mad_Dollar
Что с этим можно сделать ? Пока не понятно.
КопироватьСсылка
Рассказать друзьям
Mad_Dollar
guru
Сообщений: 4281
13.02.08 17:57Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
Найти заразу и придушить/подарить любимому недругу :))))
Non solum oportet, sed etiam necessese est
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 18:07Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя Mad_Dollar
Так заразу то у себя искать ?
Включил второй комп в локалке, поставил outpost - и такая же ерунда.
Компы включал по отдельности.
КопироватьСсылка
Рассказать друзьям
Mad_Dollar
guru
Сообщений: 4281
13.02.08 18:12Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
=) поставьте эсперимент - накатите просто винду и аутпост, поднимите вепстрим, больше ничего не ставьте и воткните в инет - все будет чисто - сетапьте поочереди приложения - может какой глюк приложений. Если на чистую винду будут "наезды" - то я уж не знаю - тем более что компов два/* чистая винда - имеется ввиду на отформатированный раздел */
Non solum oportet, sed etiam necessese est
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
13.02.08 18:27Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя Mad_Dollar
Однако, эксперименты продолжаются.

Моя сеть: Модем - маршрутизатор с wifi - два компа.

После того как я убрал маршрутизатор, а комп воткнул напрямую в можем - прекратились зверские атаки.
Outpost молчит уже пол часа.
Сейчас попробую перенастроить эти два устройства (модем и роутер. А то на обоих используется NAT.
Может в этом причина.
КопироватьСсылка
Рассказать друзьям
Mad_Dollar
guru
Сообщений: 4281
13.02.08 18:38Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя WAndreyW
В ответ на: А то на обоих используется NAT
не скажу что причина - но как вариант )))) А в каком режиме стоит вай-файный роутер? Может модем в бридж поставить, а роутером натить?
Non solum oportet, sed etiam necessese est
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
14.02.08 00:21Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании по пользователя Mad_Dollar
пока не получилось.
КопироватьСсылка
Рассказать друзьям
whiplash
кусок мяса
Сообщений: 6821
14.02.08 10:14Ответ на сообщение Outpost (сообщения об атаках и сканировании портов пользователя WAndreyW
знаешь, если слегка задолбал аутпост - поставь KIS. сорри за оффтопик.
IT crowd. старый добрый троллинг.
КопироватьСсылка
Рассказать друзьям
WAndreyW
activist
Сообщений: 395
18.02.08 11:17Ответ на сообщение Re: Outpost (сообщения об атаках и сканировании портов пользователя whiplash
Решил проблему!

Как уже говорил, у меня стоял модем и маршрутизатор, на обоих использовался NAT. Хитро, но приходилось так делать. С модема получал инет, а на маршрутизаторе WiFi. Отключать NAT не получалось. Техническая поддержка ZYXEL предложила интересное решение, самому в голову такое не пришло, модем перевести в режим Моста, а авторизацию PPPoE проводить с маршрутизатора.
КопироватьСсылка
Рассказать друзьям

НГС.Форум /Компьютеры Интернет Связь / Программное обеспечение /

Перейти в форум

открыть в новом окне

Модераторы: