Тема: Атака на домашний комп с сервера aquaforum.kiev.ua !
Показать сообщение отдельно
Старый 14-07-2006, 09:13   #14
Zaitsev
Живу я тут
 
Регистрация: Dec 2005
Адрес: Mariupol
Сообщения: 24
Поблагодарил(а): 0
Поблагодарили 15 Раз(а) в 10 Сообщениях
Репутация: 11
Отправить сообщение для Zaitsev с помощью ICQ Отправить сообщение для Zaitsev с помощью Skype
Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
Цитата:
Сообщение от Александр Бешлега
А, тут как то с уже такое было и мне сообщали о портах. Вот лог фаервола:
[06/Jun/2006 10:10:47] PORTSCAN hostip="213.169.66.5"
hostname="www.aquaforum.kiev.ua" log="protocol: TCP, source:
213.169.66.5, destination: хх.хх.ххх.ххх, ports: 57611, 57612, 57613,
57615, 57616, 57622, 57623, 57636, 57712, 57713, ..." time="Tue Jun 06
10:10:47 2006" username="not logged yet"
Может это именно оно?

Я как сисадмин могу сказать следующее - данная ситуация могла возникнуть по следующей причине - с xxx.xxx... на 213.169.66.5 пошло много запросов на страничку (например несколько страниц сразу открывается или технология prefetch - запрос следующих страниц пока эту читаешь, либо просто кучу картинок). В этом случае запрсы идут
от ххх.ххх порт 57611 на 213.169.66.5 порт 80
от ххх.ххх порт 57616 на 213.169.66.5 порт 80
и т.д. т.е. соединение (правильно говорить TCP сессию) открывает (инициирует) ххх.ххх....
причем каждая новая сессия со стороны ххх.ххх использует порты на ххх.ххх. выше 1024 и практически "подряд" - это зависит от способа доступа в Интернет (через NAT на ххх.ххх.., напрямую, чарез NAT провайдера-обычно для модемных соединений, через прокси на ххх.. или провайдере и тд).
Далее возможны несколько выриантов: Запросы ушли, Агнитум зафиксировал это соединение как безопасное (открыто ххх.ххх значит ответы ожидаемы) - по дороге запросы либо ответы задержались и соединение закрылось по тайм-ауту. А тут приходят ответы с флагами (должны они быть такими) как бдто соединение существует и агнитум со спокойной совестью считает его атакой (ведь про инициацию соединения от ххх.ххх он уже ничего не помнит)
Этот случай самый маловероятный.
Другой случай - попытка скана с подменой ИП источника - но в этом случае сканирующий должен видеть ваш трафик - самое вероятное доступ в Инернет через Ethernet - так называемые Homenet.
Самое вероятное - видя приход большого количества пакетов (ответов на запрос) за короткий промежуток Агнитум решает что "лучше перебдеть чем недобдеть" и пишет в Логи PORTSCAN - он страдал излишней подозрительностью всегда но на порядок меньше чем Касперский Антихакер. В данном случае это чистый глюк.
Мой совет владельцам файрвола - если он что-то написал в логи - значит увидел - значит пресек (к сожалению часто нужное) - Радуйтесь. Если вас сломают (тем более грамотно) - сообщений не увидите. Хуже когда в логах все спокойно - в Интернете такого не бывает !
Zaitsev вне форума   Ответить с цитированием