Теперь у меня хайган..недавано поставил себе PeerGuardian 2 и с интересом обнаружил,что меня кто то бомбит со страшной интенсивностью..
DoD Network Information Center по адрессу 11.28.0.1:67 UDP
После проверки,оказалось,что это исходит от самой сетки ХОТ.
Хотелось бы узнать,что это ....
Вот что показывает снифер на внутреннию сеть ХОТ
1 UDP 10.248.32.1 255.255.255.255 67 68 bootps 698 247 772 Bytes 267 698 Bytes 05.04.2007 21:29:09:937
2 UDP 172.21.ХХ.ХХ 212.199.5.28 1701 1701 l2tp 2 757 1 013 516 Bytes 1 092 152 Bytes 05.04.2007 21:29:10:968
3 UDP 10.248.192.1 255.255.255.255 67 68 bootps 145 45 656 Bytes 50 044 Bytes 05.04.2007 21:29:10:968
4 UDP 10.248.64.1 255.255.255.255 67 68 bootps 6 1 968 Bytes 2 506 Bytes 05.04.2007 21:29:26:015
5 UDP 10.248.12.1 255.255.255.255 67 68 bootps 4 1 200 Bytes 1 640 Bytes 05.04.2007 21:29:44:640
6 UDP 10.248.96.1 255.255.255.255 67 68 bootps 11 3 596 Bytes 4 232 Bytes 05.04.2007 21:30:58:609
7 UDP 10.248.160.1 255.255.255.255 67 68 bootps 9 2 888 Bytes 3 468 Bytes 05.04.2007 21:33:16:031
1 UDP 10.248.32.1 255.255.255.255 67 68 bootps 698 247 772 Bytes 267 698 Bytes 05.04.2007 21:29:09:937
2 UDP 172.21.ХХ.ХХ 212.199.5.28 1701 1701 l2tp 2 757 1 013 516 Bytes 1 092 152 Bytes 05.04.2007 21:29:10:968
3 UDP 10.248.192.1 255.255.255.255 67 68 bootps 145 45 656 Bytes 50 044 Bytes 05.04.2007 21:29:10:968
4 UDP 10.248.64.1 255.255.255.255 67 68 bootps 6 1 968 Bytes 2 506 Bytes 05.04.2007 21:29:26:015
5 UDP 10.248.12.1 255.255.255.255 67 68 bootps 4 1 200 Bytes 1 640 Bytes 05.04.2007 21:29:44:640
6 UDP 10.248.96.1 255.255.255.255 67 68 bootps 11 3 596 Bytes 4 232 Bytes 05.04.2007 21:30:58:609
7 UDP 10.248.160.1 255.255.255.255 67 68 bootps 9 2 888 Bytes 3 468 Bytes 05.04.2007 21:33:16:031
А чего хайган?
| QUOTE (Uzaren @ 05-04-2007, 20:46) |
| А чего хайган? |
да понимаешь.....нужно было для одной игрушки....а теперь просто сил нету с ними снова возиться....да и я практичски перестал раздавать/качать...так что для меня это не особо важно..правда вот думаю переходить на 015 на хибур кавуа......посмотрим,так как это последний месяц с мивцой за 115 шах
Я хоть и не сетевик, но:
| QUOTE |
| UDP 10.248.32.1 255.255.255.255 67 68 bootps |
Означает, что с адреса 10.248.32.1 (скорее всего, это хотовский DHCP сервер) идет DHCPOFFER - бродкаст (широковещательная рассылка) по всем адресам с предложением IP адреса (по протоколу bootp). Это ответ на просьбу некоторого клиента выдать ему адрес. Прямым обращением - юникастом - до него не добраться пока у него нет никакого адреса.
А видишь ты это потому что все кабельные клиенты сидят на одном большом сегменте сети и "видят" и "слышат" все что там делается. :fear2: :w00t:
А видишь ты это потому что все кабельные клиенты сидят на одном большом сегменте сети и "видят" и "слышат" все что там делается. :fear2: :w00t:
Не совсем в тему, но завтра возьму 6000/600 за 119 в хоте. Безекбейнлеуми по-прежнему останется "не в курсе". И на этот раз прокатит?
Вопрос сетевикам, как-никак... :laugh:
Вопрос сетевикам, как-никак... :laugh:
ББ "в курсе" насчет 6000. И по некоторым "инсайдерским" данным, уже начал интересоваться 600. :laugh:
у меня,тогда, тоже вопросец:
кто-то настырно пытается на протяжении нескольких месяцев пролoмиться ко мне на комп с IP адрессов 85.140.xxx.xxx
ясно дело,что я эти IP забанил,ибо нефиг
но всё же интересно узнать: что вдруг ко мне стучаться начали
кто-то настырно пытается на протяжении нескольких месяцев пролoмиться ко мне на комп с IP адрессов 85.140.xxx.xxx
ясно дело,что я эти IP забанил,ибо нефиг
но всё же интересно узнать: что вдруг ко мне стучаться начали
| QUOTE |
| Tracing route to ppp85-140-141-169.pppoe.mtu-net.ru [85.140.141.169] over a maximum of 30 hops: 1 * * * Request timed out. 2 * * * Request timed out. 3 * * * Request timed out. |
Request timed out т.к забанен он у меня :)
heineken man
значит нечего переживать.может стоит разрешить и убрать из бан листа :?
значит нечего переживать.может стоит разрешить и убрать из бан листа :?
sandrey:
Ломится зачем? В смысле по каким портам/протоколам.
Ломится зачем? В смысле по каким портам/протоколам.
| QUOTE (zemlynyn @ 05-04-2007, 22:15) |
| значит нечего переживать.может стоит разрешить и убрать из бан листа :?. |
Я тебе расписал только строчки из твоего сниффера, касающиеся хотовских DHCP. Насчет Department of Defence ты дал недостаточно информации.
| QUOTE (heineken man @ 05-04-2007, 20:15) |
| Ломится зачем? В смысле по каким портам/протоколам. |
делает скан портов:
| QUOTE |
| Somebody is scanning your computer. Your computer's UDP ports: 6881, 15227, 18976, 27687 and 30373 have been scanned from 85.140.141.169. |
| QUOTE |
| Somebody is scanning your computer. Your computer's TCP ports: 17004, 17018, 6881, 17988 and 15227 have been scanned from 85.140.141.173. |
| QUOTE |
| Somebody is scanning your computer. Your computer's UDP ports: 17018, 30373, 6881, 18976 and 17988 have been scanned from 85.140.141.169. |
и всё в таком духе
Department of Defence так описывает PerGuardian 2
А у тебя на этих портах что-нибудь наличествует (осел, торрент)?
| QUOTE (Zemlynin @ 05-04-2007, 22:22) |
| Department of Defence так описывает PerGuardian 2 |
Ты не написал, что именно он пытается сделать. Destination address, port, protocol. Без этого я могу только строить предположения.
я открываю не порты а доступ к процессам.т.е если процесс не разрешен,то ни через какой порт он не пролезет,а если разрешен, то может лезть через все порты,если не выставленно дополнительных ограничений
| QUOTE (sdandrey @ 05-04-2007, 22:26) |
| я открываю не порты а доступ к процессам.т.е если процесс не разрешен,то ни через какой порт он не пролезет,а если разрешен, то может лезть через все порты,если не выставленно дополнительных ограничений |
Я тебя не спрашивал что ты открываешь. Интересует, есть ли работающие сервисы на этих портах (открытые сокеты в случае TCP). Так можно попытаться понять, это действительно скан, или orphan data connections от какого-нибудь p2p.
осёл и торент работают. есть,конечно.вероятность, что кто-то с данных IP пытается подсоединиться к ослу / торенту
но на данный момент все эти IP забанены, на всяк случай
но на данный момент все эти IP забанены, на всяк случай
Осел и торрент работают на каких портах?
И еще: когда следующий раз будет скан, сделай из коммандной строки:
netstat -an | findstr :6881. Есть ли открытые сессии с/на эти порты.
И еще: когда следующий раз будет скан, сделай из коммандной строки:
netstat -an | findstr :6881. Есть ли открытые сессии с/на эти порты.
| QUOTE (heineken man @ 05-04-2007, 20:37) |
| Осел и торрент работают на каких портах? И еще: когда следующий раз будет скан, сделай из коммандной строки: netstat -an | findstr :6881. Есть ли открытые сессии с/на эти порты. |
осёл и торент могут работать на любых портах,ограничений нет
запустил сейчас команду: пусто
запустил сейчас команду: пусто
Осел обычно требует указать рабочие порты, или в твоем по другому?
Команду надо запустить, когда есть активный скан на соответствующий порт, тогда будет видно используется ли этот порт еще кем-нибудь.
Команду надо запустить, когда есть активный скан на соответствующий порт, тогда будет видно используется ли этот порт еще кем-нибудь.
| QUOTE (heineken man @ 05-04-2007, 20:46) |
| Осел обычно требует указать рабочие порты, или в твоем по другому? Команду надо запустить, когда есть активный скан на соответствующий порт, тогда будет видно используется ли этот порт еще кем-нибудь. |
команду запустил,через пару нинут после скана
ща почти сразу запустил,опять пусто
в самом осле открыт порт,но ,видимо, это фигня,т.к осёл качает и раздаёт по всем портам
порт,открытый в осле ,не подходит ни под один из сканируемых
ща почти сразу запустил,опять пусто
в самом осле открыт порт,но ,видимо, это фигня,т.к осёл качает и раздаёт по всем портам
порт,открытый в осле ,не подходит ни под один из сканируемых
Если по этим портам нет никакой нормальной активности (а это критический момент для принятия правильного решения), то скорее всего российские друзья зачем-то действительно тебя "пробают". Зачем - ну например на предмет установленного трояном удаленного доступа. Никакой гадости за последний год из компа не вычищал?
| QUOTE |
| ББ "в курсе" насчет 6000. И по некоторым "инсайдерским" данным, уже начал интересоваться 600. |
Будут домогаться? :laugh: Чем-то может грозить? :help:
Грозить вряд ли, мороки много с крикливыми аборигенами связываться, а вот обрежут по помидоры. А 6000 ты уже сегодня от них не получишь, за дауном вроде все следят.
Я сам на полмеги партизаном сижу, причем пытался честно с ними договориться. Признался и попросил нормальную цену, а не 139 НИС, они сказали, что другой цены нет и я их ни о чем не просил. :fear2: :w00t:
Я сам на полмеги партизаном сижу, причем пытался честно с ними договориться. Признался и попросил нормальную цену, а не 139 НИС, они сказали, что другой цены нет и я их ни о чем не просил. :fear2: :w00t:
| QUOTE (heineken man @ 05-04-2007, 21:05) |
| Если по этим портам нет никакой нормальной активности (а это критический момент для принятия правильного решения), то скорее всего российские друзья зачем-то действительно тебя "пробают". Зачем - ну например на предмет установленного трояном удаленного доступа. Никакой гадости за последний год из компа не вычищал? |
троянов и прочей гадости нет
Spy Sweeper и AntiVir PE Classic за этим блюдуть
Spy Sweeper и AntiVir PE Classic за этим блюдуть
| QUOTE (heineken man @ 05-04-2007, 22:26) | ||
Ты не написал, что именно он пытается сделать. Destination address, port, protocol. Без этого я могу только строить предположения. |
в том то и дело...пишется только действие,а почему заблокировано непишется..
sandrey:
До лампады твои блюстители. Если код новый или "незасвеченный", то шанс его выловить тулзой почти нулевой.
Например, все еще должны помнить скандал "сус трояни" пару лет назад. Семейная пара нараздавала сидюков с самопальным трояном, все эти сидюки чем только не сканировали. Шума там было больше чем реально происходило, но вот звоночек кому надо прозвенел, IT менеджеры пошли колоннами закупаться Information Leak Prevention системами, а стартапы их клепать. :music:
До лампады твои блюстители. Если код новый или "незасвеченный", то шанс его выловить тулзой почти нулевой.
Например, все еще должны помнить скандал "сус трояни" пару лет назад. Семейная пара нараздавала сидюков с самопальным трояном, все эти сидюки чем только не сканировали. Шума там было больше чем реально происходило, но вот звоночек кому надо прозвенел, IT менеджеры пошли колоннами закупаться Information Leak Prevention системами, а стартапы их клепать. :music:
ну и что терь делать?
конечно IP забанены, но на будущее
плюс я не какая-нить компания с секретностями, а обычный юзверь
конечно IP забанены, но на будущее
плюс я не какая-нить компания с секретностями, а обычный юзверь
Да ничего не делать. Ничего у тебя скорее всего нет и не было. Даже блокировать эти сканы не обязательно, ведь на этих портах ничего нет. Мало ли там в Бразилии диких сканеров, всех не забанишь. :rolleyes:
| QUOTE (heineken man @ 05-04-2007, 21:40) |
| Да ничего не делать. Ничего у тебя скорее всего нет и не было. Даже блокировать эти сканы не обязательно, ведь на этих портах ничего нет. Мало ли там в Бразилии диких сканеров, всех не забанишь. :rolleyes: |
хм.тогда нафиг сканить?. ведь,не ради спортивного интереса;)
sdandrey, этот диапазон адресов -- это МТУ-Интел (интернет толкает по АДСЛ под маркой <СТРИМ>, www.stream.ru). Банить конкретные IP -- бесполезно, они меняются раз в сутки. Кроме того, UDP-сканы вообще не особо-то опасны, если у тебя на этих портах ничего не висит (а так оно и должно быть).
А вот банить наглухо весь диапазон СТРИМа -- не есть гуд, потому что на ём в Москве процентов 15 народу сидит, стало быть ты сразу отрежешь им доступ. Мне это не грозит, а вот tygydym_horse, например -- грозит. Так шта...
А вот банить наглухо весь диапазон СТРИМа -- не есть гуд, потому что на ём в Москве процентов 15 народу сидит, стало быть ты сразу отрежешь им доступ. Мне это не грозит, а вот tygydym_horse, например -- грозит. Так шта...
береженного бог бережет, по этому зарезал весь диапазон.сканы не только UDP,но и TCP
млин, в россии меня любят
на всяк случай зарезал тоже весь диапазон
млин, в россии меня любят
на всяк случай зарезал тоже весь диапазон