Komoly támadások a hálózatról?

Hálózatok egyéb

Sziasztok!

Eddig nem nagyon foglalkoztam a tűzfallal, úgy voltam vele, hogy biztosan jól elvan egyedül is az iptables (Ubuntu 6.06) :)
Most viszont feltettem a Firestartert, hátha hasznos.
Pár órája van fent, és nem igazán értem, hogy hogyan kellene értelmeznem a statisztikáit.

Események:

Bejövő:
 Összesen: 0; Komoly: :468
Kimenő
 Összesen: 0; Komoly: :0

Jelent ez valamit számomra? Ez most azt jelenti, hogy egy nap alatt 468x akartak megtámadni? De a tűzfal kidobta mindet?

Az "Események" fülön megnéztem, hogy mik voltak ezek, és azt találtam, hogy a legtöbb ilyen esemény a "DCOM-scm"-től jött, de erről információt nem találtam. Sokszor látom még a "Microsoft-ds"-t és "Samba(SMB)"-t is.

  • 1976 megtekintés

( bastya_elvtars | 2006. 12. 29., p – 18:07 )

MS-DS és SMB-porton keresztül akár portscan is lehet, de ezeket bizonyos windowsos malware-k okozzák (ha egyáltalán azok).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Nomegegyszer:
"MS-DS és SMB-porton keresztül akár portscan is lehet,"
"Vannak ilyen malware cuccok, amik a hálózatban portscanelgetnek (139, 445, 5800 TCP portokon). :-)

Most oszinten, hogy lehet, porton keresztul portscannelni? Vagy a halozatban?

Amugy ha nagyon szigoruak vagunk, akkor lehet portscannek nevezni ezt is (felteve, hogy ugyanarrol a host-rol jott az osszes probalkozas), de azert portscannek akkor szoktuk nevezni, ha kisse tobb portot megprobal a "malware cucc". Amire te gondoltal, az valoszinuleg a portsweep azaz celzottan par meghatarozott nyitott portot keres rengeteg host-on, s nem nez at sok portot egy host-on.

Zsiraf

p.s.: wiki://Portscan

( sysmaster | 2006. 12. 29., p – 18:13 )

meg néhány terjedni próbáló worm.
-----
Si vis pacem, para bellum...

( Usumu | 2006. 12. 29., p – 18:18 )

Ha a 135-138 portokon probalkozik valalki az lehet akar artalmatlan weboldal is, megnezi windozet hasznalsz e vagy sem... csak meg kell nezni hogy nyitva van e a port (windozban nem lehet lecsukni)
A Samba viszont erdekes (bar nem emlekszem pontosan de az NMB is valamelyik ien 13* porton okoskodik UDP protokolon)
Egyszer megjartam en is, tele volt a log egy hazai szolgaltatohoz tartozo IP cimrol jott telnet kapcsolodasi probalkozasokkal. Panaszt tettem a fent emleitett szolgaltatonal akik kozoltek velem hogy az lehetetlen hisz az a gep egy homero :)).
--
Nem tudom miert jottem, de azt igen hogy miert megyek el.

( Marcell | 2006. 12. 29., p – 18:28 )

A DCOM-smc a 135-ön,
a Samba(SMB) a 139-en próbálkozik.
A Microsoft-ds viszont már nem csak a neve miatt gyanús: a 445-ös TCP-porton matat.
Ismeretlenek és a VNC az 1026-42523-ig vannak, és valaki Radmin-port néven szintén meglep... a 4899-en.

Ezekkel az infókkal remélem, konkrétabban tudunk beszélni a dologról.

Szerk: Közben már 507-nél tartunk, hihetetlen gyorsan megy felfelé, és mind a "komoly" jelző alatt.

1) Ne futtass VNC-szervert standard porton.
2) Még ha át is megy a tűzfalon, akkor sincs gond, mert ezek windows-specifikusak (van valami video monitor, age o empires meg fifa 2007).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Igen, a 13* portok azok windoze finomsagok, nem kell aggodni ertuk (hacsak nem fut SMB/NMB server azon a gepen), a VNC viszont... az kicsit erdekes mert azt (az uj verzioknal mondjuk nem tudom) csak interaktiv mondban lehet futtatni (bar lehet az barmi VNC nek alcazva :)).
--
Nem tudom miert jottem, de azt igen hogy miert megyek el.

( Marcell | 2006. 12. 29., p – 19:34 )

Örülök, hogy ilyen sokan foglalkoztok a témával, köszönöm.
Az alap kérdés még mindig az, hogy egy bájos mosollyal vegyem tudomásul, hogy egy ügyetlen hacker próbálkozott, de az én tűzfalam elküldte a... oda; avagy kezdjek el aggódni, látván, hogy időközben megközelítettük a 600-at komoly támadások terén (egészen pontosan 571) ?

Az attól függ mennyi idő alatt szedted össze.
Nekem, ha csak napi 30-40 regisztrált "betörési kísérlet" van, akkor az kifejezetten nyugis nap volt. Sajnos elég sok "szemét" terjeng a neten keresztül és ebből mindenki kap bőven. Ha viszont órás bontásban van sok száz regisztrált kísérleted, akkor érdemes kicsit több figyelmet szentelni az eseményeknek. Ha nem is feltétlenül azért, mert bejutott valaki, de esetleg kiszemelhettek áldozatnak. Az ilyen dolgoknak meg jobb inkább az elején végére járni. Esetleg, ha vénetlenül egy helyről jön, akkor whois segítségével megtudhatod a szolgáltatóját, akinek megjegyezheted ez irányú tapasztalatodat (logokkal alátámasztva).

Zavard össze a világot: mosolyogj hétfőn.

A whois eszembe se jutott, köszi! Hát, hogy arányaiban ez mennyi...

5 óra 20 perc alatt ---> 610 kísérlet.
akkor az kb. 115 kísérlet óránként.

Ez egy desktop gép, az én itthoni PC-m. Netes progik amik jelenleg futottak rajta ez alatt az idő alatt:

-Firefox
-aMSN
-Skype

( LGee | 2006. 12. 29., p – 21:01 )

Ez valoban ennyire meglepo? Nalam most az utobbi 3 oraban 170 probalkozas pattant vissza a routerrol. (gagyi otthoni adsl, semmi szolgaltatas nem fut rajta)

Tenyleg kellene mar egy jo kis "Ismerkedes az Internettel" doksi, hogy a trivialis jelensegek es veszelyforrasok jobban bekeruljenek a koztudatba.

( ulmus | 2006. 12. 29., p – 22:00 )

1 óra alatt több mint 300 próbálkozás, legtöbb a 135 porton. Én is örülnék egy doksinak.

Vegyem tudomásul, hogy ez van és kész vagy tudok tenni valamit?

Ui: Ha a Firestarter által jelzett állandó 8-9 KB/s bejövő forgalmat is ezek a próbálkozások adják, akkor megoldódik végre ez a gondom is. Remélve, hogy ezt a "bejövő forgalmat" nem letöltésként tudja be és számlázza ki a szolgáltatóm:))