мои порты сканируют с разных IP. Как можно выявить и что можно сделать. В основном сканируют на 1025, 1030 и в этих пределах.

Есть у меня в университете хамская аудиторя, так вот, хочу чтобы раз в 30 минут сканировались мною заданные порты, по списку ИП адресов.
P.S. Пользуюсь GFI LANguard network Security Scanner, может и в нём есть такая функция?
P.P.S. Естественно надо что бы программа писала логи )) А еще лучше письмо отправляла...

www.maxvell.com/prog/scan.html

rovdy
Написать прову этих сканерщиков с прикреплёнными логами firewall'a

И который из них это может?

А я пытался раз 10, потом надоело. Провы клонят к тому, что сканят те, кто используют поддельные IP, а они тут как бы и не при чём, ибо да пошел ты нафиг. Иногда отвечали культурнее, но в том же смысле.

А что, сканирование противозаконно?

Просто жалобы файервола раздражают.

SSS
На западе - да
Да и у нас уже вроде бы за это посадить могут

Добавлено:

rovdy
можно самому принимать активные действия :)

Internet Secure Scanner ---- вещь !!!


З.Ы одобрено Минздравом России

ежели IP реальные можно вычислить физически и поразвлечся (активный отдых эт гуд) а можно их самих (злобников) попугать разными атаками если заняться нечем

У меня стоит Outpost Firewall.
У него, в детекторе атак есть пункт - Блокировать атакующего. Должно помочь, но я честно говоря пока с этим не сталкивался и на счет эффективности ничего не знаю.

Тут на Форуме где-то кто-то (искать влом) давал линки на плугины для него типа Blockpost. Если в него ввести сканирующих - больше их не увидишь. Вот только я однажды случайно туда засунул IP Форума - два дня думал, что Форум переехал - не мог попасть, пока не удалил оттуда свою ошибку.

rovdy
Это порты IE,  когда он на PROXY ломится.
Это не сканирование, так и должно быть.

vasketsov
а разве не 3128? 8080?

Это порты IE,  когда он на PROXY ломится.
Это не сканирование, так и должно быть.
это 3128 порт прокси
а оттуда поступает что то....

Maxvell
Absolut
3128 и еще какие - это удаленный порт.
Примерно 1025 - это локальный порт.
Так как драйвером Tcp он освобождается не сразу, то это и выглядит как скан, потому что потом 1026, 1027 и т. п. появляются.

rovdy

1. В фаерволе поставь, что бы тебя не беспокоили по сканированию и все. Введи полные диапазоны айпи или сразу все. Это дело полминуты.

2. А то, что сканируют..так это они выпендриваются. Они ничего не смогут сделать. Ведь ты просой пользовательский комп, а не служба какая-нибудь :)

Со мной такое впервые,
Вобщем какой-то хакер(или фиг знает кто), что-то имеет против меня.
Выхожу в инет и через некоторое время начинаются постоянное сканирование
с разных хостов. (это уже длится вторые сутки)

Хотя у меня стоит Фаер (аутпост), но все равно как-то не по себе.
Да и связь какая-то медленная стала

Посоветуйте, что предпринять.
Спасибо.

ничего удивительного, что вас сканируют.
я бы на вашем месте относился к этому спокойнее.
не так давно по всем новостям пробегал перевод статьи на ZDnet UK "Study: Unpatched PCs compromised in 20 minutes (http://zdnet.com.com/2100-1105_2-5313402.html)", в двух словах, которой гласит:
(http://bugtraq.ru/rsn/archive/2004/08/18.html)Свежая Windows: у вас 20 минут
Ktirf // 19.08.04 03:30
Столько времени с момента подключения к сети, в среднем, требуется для того, чтобы новую систему нашел какой-нибудь вирус. Об этом сообщает Internet Storm Center - подразделение института SANS. Год назад этот промежуток времени составлял вдвое больше. Нынешняя же цифра угрожающе близка ко времени, необходимому для установки патчей на свежепоставленную Windows, особенно если их приходится скачивать из сети. В зависимости от конкретных условий "halflife" может меняться как в меньшую, так и в большую сторону.

ZDNet в связи с этим вспоминает высказывание Фреда Баумхардта, консультанта Microsoft по безопасности, на недавней конференции Microsoft TechEd в Амстердаме (никаких намеков) о том, что возможно, придет день, когда какой-нибудь вирус накроет всё (brings down everything) из-за того что никто просто не успеет его обнаружить и обезвредить. Не хочу показаться умнее господина консультанта, но мне всегда казалось, что если перед выходом в сеть поднять Internet Connection Firewall, встроенный в Windows XP, и запретить на нем входящие соединения, то продержаться можно очень долго. Не говоря уже о том, что у всеобщего киллера должна быть неслабая база данных по еще неизвестным уязвимостям, в том числе в файрволлах.

так что успокойтесь, вполне вероятно, что вас сканируют именно интернет-черви.
настройте ваш фаервол, чтобы он пускал в интернет только приложения, которыми вы пользуетесь, а все остальное запретите.