Що це?

[Stepan]

Доброго усім дня.

Зайшов сьогодні на форум,лазив по ньому-читав пости і в цей момент програма Agnitum Outpost Firewall мені ось яку інформацію надає про атаку яка здійснювалася з адресу нашого форуму:
Обнаружено атаку IP-адрес 213.169.66.5,Dns-имя атакующего aquaforum.kiev.ua,Тип атаки сканирование портов,Время 13:31:08 Просканированые порты TCP (1117, 1118, 1090, 1087, 1089, 1088).

І це відбуваєтся цілий день причому файрвол блокує сайт на декілька хвилин,з усіх інших адресів на які я сьогодні заходив такого не відбуваєтся.

Що це за атака і чи небезпечна вона для мене?

[Jararaka]

Ничего страшного - можешь не обращать внимания.
Это уже здесь обсуждалось, но не знаю, сохранилась ли тема после взлома форума.

Теоретически, конечно, кто-то может использовать аквафорум как прокси - но подумай, есть ли конкретно на твоём компе нечто очень ценное для хакера ? Или для CIA, MOSSAD, агентов парагвайской разведки etc.

[galser]

По-моему, не сохранилась тема, но поверь - это не смертельно. Если ничего супер-ценного на машине нет - не бери в голову.

[Nafanaill]

Чет я не понял, это форумский сервак фигней занимается или кто-то айпи подставляет?

[Stepan]

Та наче нічого цінного нема просто і я не переживаю навіть як вінда полетить вона у мене зараз ледве робить,буде повід переставити,що мені просто дивно,що я на форумі сидів напрклад в 9 ранку,а атака на компютер здійснюєтся в першій дня.

[Олександр Бешлега]

Ув. админы, разтолкуйте плз "физику" эт ого процесса. Я сам ее не до конца понял.

[galser]

Физика процеса проста - эта подстановка чужого адреса, для маскировки своих действий, т.е. для того чтобы такую вещь сгенерировать - нужен специальный софт который отправляет IP-пакет с ОДНОГО физического и IP-адреса, а в заголовке - пишет что якобы отправлялся от аквафорума...
Гораздо веселее, если бы, например кто-то генерировал пакет на ошибку в установлении TCP-IP-соединения соединения с обратным адресом нашего форума - и желательно с нескольких компьютеров. Вот и подумайте что бы тогда произошло.

P.S.
Это реально может быть и человек с неким автоматизированным средством - который толком и не понимает что делает. "Кулхацкер" 12-13-ти лет.

[Nafanaill]

Цитата:"Эта атака заключается в попытке определить открытые ТСР-порты на вашем ПК. Атака используется для поиска слабых мест и предшествует боее ОПАСНЫМ атакам"

[galser]

Тогда давайте по-другому - спросим Stepan'a - которого кстати нет - если он подключается напрямую к Интернету, через какой-то модем - это одно - если в офисе, через прокси и файрволл.. ну-ну....пусть определяют открытые порты, только что им это даст?

[Stepan]

В мене виділена лінія стоїть,декілька днів,як поставили от і почалося.

[Stepan]

Але в принципі в мене крім музики,фільмів і кліпів нічого нема нехай атакують скільки влізе.

[quiet]

Не факт что это вообще было сканирование.
Когда броузер загружает страницу создается несколько TCP сессий каждая из которых грузит определенный блок информации (например картинки). Запрос от компьютера идет на 80 порт, прием информации идет на порт выбираемый броузером из диапазона от 1025 до 65535.
Файрвол считает сканированием операцию когда некий узел (хост, IP-адрес) пытается за короткий промежуток времени установить соеденения по нескольким портам. При быстром соеденении с инетом (выделеная линия, ADSL-связь) когда броузер отослал запрос, почти мгновенно начинается прием даных, начинают идти запросы на установку соеденения для передачи информации (например картинок). И такое действие файрвол может расценить как сканирование.
P.S. Извините если не сильно понятно, просто спешил потому как одновременно делаю несколько дел