Lemat, strona prywatna

Ty mnie skanujesz?! To ja Ciebie też!!

Jak wszystkim wiadomo skanowanie portów od czasu "Gier wojennych" jest źle postrzegane. Obecnie tą czarną robotę wykonują wirusy np. Blaster, SQL slamer. Poniżej statystyka aktywności na różnych portach z moich iptablesów:


 4527  371K udp  mport dports 135:139,445
  244 10144 tcp  tcp dpt:21
   32  1312 tcp  tcp dpt:25
 412K   17M tcp  tcp dpts:135:139
24441 1031K tcp  tcp dpt:445
 6748  274K tcp  tcp dpts:1:1023
  931 38574 tcp  tcp dpt:1080
 327K   13M tcp  tcp dpt:1433
  245 10197 tcp  tcp dpt:3128
 401K   16M tcp  tcp dpt:4444
  134  5511 tcp  tcp dpt:4480
  111  4568 tcp  tcp dpt:6588
  207  8697 tcp  tcp dpt:8080
  359 14808 tcp  tcp dpt:17300
   77  3176 tcp  tcp dpt:27374
14893  615K tcp  tcp dpts:1024:65535
  165 71672 udp  state NEW limit: avg 1/sec burst 1
  672 59914 icmp

Legenda:

  1. Liczba pakietów
  2. Liczba M/k/bajtów
  3. Protokół
  4. zakres portów (jeżeli zakres się pokrywa z wcześniejszymi wpisami to oznacza dopełnienie zbioru - wpisy się nie dublują)

Są to wyniki z 14+ dni (z roku 2004).

Jak widać najwięcej jest skanowania na porcie 135 (Blaster i spam z użyciem "Posłańca"), a ponieważ mam na nim -j TARPIT to również na 4444.
Drugi pod względem aktywności jest 1433 czyli ataki na M$ SQL Serwer wirusa SQL slamer.
Oprócz tego jest trochę skanowania udziałów windowsowych, anonimowych ftp, openrelajów, openproxy, wirus Kuang na 17300...
Ostatnio (piszę to 2004-01-15) jest jakby mniej blastera na 135 za to więcej "czegoś" na 445.

Daje to pewne pojęcie jakie zagrożenia niesie za sobą podłączenie kompa do Sieci. Jak widać najwięcej ataków pochodzi z systemów M$ - po prostu lamerstwo niektórych osób sięga dna.


A to są wyniki z drugiego tygodnia stycznia 2007 w formacie (numer portu; protokół; ilość pakietów skanujących):

2 UDP => 7
22 TCP => 68
23 TCP => 2
42 TCP => 2
80 UDP => 10
179 TCP => 11
443 TCP => 19
444 TCP => 1
500 UDP => 84
1026 UDP => 668
1027 UDP => 33
1028 UDP => 6
1029 UDP => 7
1030 UDP => 9
1031 UDP => 5
1032 UDP => 10
1033 UDP => 3
1080 TCP => 23
1434 UDP => 63
1993 TCP => 6
1993 UDP => 3
2100 TCP => 1
2180 UDP => 3
2967 TCP => 171
2968 TCP => 7
3128 TCP => 46
3306 TCP => 2
4081 UDP => 4
4899 TCP => 11
5353 UDP => 2
5900 TCP => 60
5902 TCP => 1
5903 TCP => 3
5990 TCP => 1
6588 TCP => 11
6881 TCP => 1
6881 UDP => 58
7212 TCP => 30
8000 TCP => 19
8080 TCP => 22
10000 TCP => 16
33436 UDP => 6
33440 UDP => 6
49153 UDP => 1

Jak widać obecnie w modzie jest skanowanie ssh (22tcp), szukanie open-proxy (1080,3128,6588,8000,8080tcp), nadal są skanowane MSSQLe (1434udp) i doszedł MySQL (3306tcp), bittorent (6881tcp,udp). Całkowity brak 135-139,445tcp,udp zawdzięczamy tepsie, która odcięła ruch na firewallach.


Data utworzenia : 2003-12-05, data aktualizacji :2007-01-14

Skomentuj ten tekst

Komentarze:

antyhacker
2011-01-28 00:00:34
wydzielenie dodatkowej podsieci
Witam

Z góry przepraszam za to, że co jakiś czas nękam autora tejże zacnej strony lamerskimi pytaniami, ale obiecuję, że to ostatni raz :)
Mam następujące pytanie mam 2 routery ADSL : 3 komputery podpięte do routera nr. 1 (tego który "dostarcza neta), chciałbym podpiąć jeszcze 2 komputery, ale chciałbym je oddzielić jeszcze tym drugim routerem. Jest takie coś możliwe, tzn. do 1 routera idzie kabelek z netem, dalej z sieci lan idzie kabelek do 2 routera do gniazda adsl i te 2 kompy byłyby podpięte do tego właśnie routera przez lan. Mam wątpliwości czy da się tak połączyć 2 routery. Jeśli jednak dałoby się to jak wyglądałaby sprawa okabelkowania.
Odpowiedź Lemata:
"sieci lan idzie kabelek do 2 routera do gniazda adsl" - zależy. Jeżeli na ruterze "gniazdo ADSL" to jest RJ11 (gniazdo telefoniczne) to nie da się. Ale jeżeli na ruterze jest to po prostu gniazdo RJ45 i jest to ethernet - interface zewnętrzny - to się da. Drugi router będzie miał adres IP (i inne parametry sieci) w tej samej podsieci jak komputery za pierwszym ruterem, Komputery za drugim routerem będą w innej podsieci a drugi router będzie robił NAT po raz drugi - zakładam, że właśnie to miałaby by być ta funkcja wymagająca aż drugiego routera.
początkujący antyhacker
2010-11-14 15:06:46
router + sprzętowy firewall
Witam. Czy taka konfiguracja zwiększy bezpieczeństwo: od internetu router, za nim sprzętowy firewall (na sprzętowym firewallu wpisane zakresy "złych ip" typu korea itp. badziewia, na kompie firewall programowy, antywirus, antyspyware.
czy taki firewall jest dobry, w sensie czy udźwignie dużo regułek: ZyWALL 2Plus - Firewall cena około 515 zł?
Odpowiedź Lemata:
Sprzętowe firewalle to nie moja działka.

Ja jestem za taką konfiguracją, która wydziela sprawy security poza desktopy userów. Niektóre wirusy potrafią wyłączać windowsowe firewalle i antywirusy - zatem tak, sprzętowy FW to dobry wybór.

Jeżeli robisz bardzo restrykcyjne środowisko, to możesz userom pozwolić tylko na oglądanie stron www i czytanie emaili - ruch tylko po portach 80, 443, 587, 465, 110, 143, 995 etc.

Możesz zastosować transparentne proxy sprzęgnięte z antywirusem. Możesz zastosować jakiś Intrusion Detection System wykrywający zagrożenie, które już się stało.

Możesz... dużo a i tak jakiś wnuczek ci rozbroi system w minutę.
początkujący antyhacker
2010-11-11 21:32:42
podwójny NAT
Mam pytanie czy podwójny NAT zwiększa w jakiś sposób bezpieczeństwo. Takie lamerskie pytanie z mojej strony.
Odpowiedź Lemata:
jeżeli pierwszy NAT separuje cię od Internetu a drugi NAT od np. sieci blokowej - to tak. Oczywiście urządzenia robiące ten NAT muszą być o wiele lepiej zabezpieczone np. przed błędami userów chodzących po dziwnych stronach i uruchamiających podejrzane programy.

Przykład: masz kompa w sieci blokowej, przypadkowo wyłączysz firewalla - jesteś podatny na atak z zainfekowanego komputera w tej samej sieci.

Ale jeżeli jesteś sam w sieci lub masz niezależne urządzenie robiące firewall - to robienie dwóch NATów to przerost formy nad treścią.
LM
2008-03-15 10:12:20
Pomiary??
Witam, chcę zrobic te same pomiary na moim kompie, tylko nie wiem jak się do tego zabrać. Może napiszesz jak tego dokonałeś? Byłbym bardzo wdzięczny.
Odpowiedź Lemata:
iptables -j LOG
kola
2007-12-09 03:40:06
port 1026
mozna wiedziec jak wyliczyles ze najwiecej zapytan bylo do portu 22?, w/g twojej tabelki to raczej port 1026 byl wiecej razy odpytywany " 1026 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock, PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów."
Odpowiedź Lemata:
Chodzi o to, że na tym porcie nie działa żadna usługa. Dlatego go pominąłem.
wszystkie opinie »
Protected by spf
[Nospam-PL.NET]
Seti@Home
www.php.net
© Lemat 2004 - ∞