мои порты сканируют с разных IP. Как можно выявить и что можно сделать. В основном сканируют на 1025, 1030 и в этих пределах.

Есть у меня в университете хамская аудиторя, так вот, хочу чтобы раз в 30 минут сканировались мною заданные порты, по списку ИП адресов.
P.S. Пользуюсь GFI LANguard network Security Scanner, может и в нём есть такая функция?
P.P.S. Естественно надо что бы программа писала логи )) А еще лучше письмо отправляла...

rovdy
Написать прову этих сканерщиков с прикреплёнными логами firewall'a

И который из них это может?

А я пытался раз 10, потом надоело. Провы клонят к тому, что сканят те, кто используют поддельные IP, а они тут как бы и не при чём, ибо да пошел ты нафиг. Иногда отвечали культурнее, но в том же смысле.

А что, сканирование противозаконно?

Просто жалобы файервола раздражают.

SSS
На западе - да
Да и у нас уже вроде бы за это посадить могут

Добавлено:

rovdy
можно самому принимать активные действия :)

Internet Secure Scanner ---- вещь !!!


З.Ы одобрено Минздравом России

ежели IP реальные можно вычислить физически и поразвлечся (активный отдых эт гуд) а можно их самих (злобников) попугать разными атаками если заняться нечем

У меня стоит Outpost Firewall.
У него, в детекторе атак есть пункт - Блокировать атакующего. Должно помочь, но я честно говоря пока с этим не сталкивался и на счет эффективности ничего не знаю.

Тут на Форуме где-то кто-то (искать влом) давал линки на плугины для него типа Blockpost. Если в него ввести сканирующих - больше их не увидишь. Вот только я однажды случайно туда засунул IP Форума - два дня думал, что Форум переехал - не мог попасть, пока не удалил оттуда свою ошибку.

rovdy
Это порты IE,  когда он на PROXY ломится.
Это не сканирование, так и должно быть.

vasketsov
а разве не 3128? 8080?

это 3128 порт прокси
а оттуда поступает что то....

Maxvell
Absolut
3128 и еще какие - это удаленный порт.
Примерно 1025 - это локальный порт.
Так как драйвером Tcp он освобождается не сразу, то это и выглядит как скан, потому что потом 1026, 1027 и т. п. появляются.

rovdy

1. В фаерволе поставь, что бы тебя не беспокоили по сканированию и все. Введи полные диапазоны айпи или сразу все. Это дело полминуты.

2. А то, что сканируют..так это они выпендриваются. Они ничего не смогут сделать. Ведь ты просой пользовательский комп, а не служба какая-нибудь :)

Со мной такое впервые,
Вобщем какой-то хакер(или фиг знает кто), что-то имеет против меня.
Выхожу в инет и через некоторое время начинаются постоянное сканирование
с разных хостов. (это уже длится вторые сутки)

Хотя у меня стоит Фаер (аутпост), но все равно как-то не по себе.
Да и связь какая-то медленная стала

Посоветуйте, что предпринять.
Спасибо.

Меня сканируют!
 

ничего удивительного, что вас сканируют.
я бы на вашем месте относился к этому спокойнее.
не так давно по всем новостям пробегал перевод статьи на ZDnet UK "Study: Unpatched PCs compromised in 20 minutes", в двух словах, которой гласит:
так что успокойтесь, вполне вероятно, что вас сканируют именно интернет-черви.
настройте ваш фаервол, чтобы он пускал в интернет только приложения, которыми вы пользуетесь, а все остальное запретите.

Меня сканируют!
 

Вы меня несколько успокоили,
Хотя мне кажется это все-же целенаправленные дейстаия.
началось все после посещения одного IRC канала

Меня сканируют!
 

Могу посоветовать установить BitDefender 8 Professional Plus
Убьёш сразу двух зайцев,получиш совсем не плохой антивирус и файервол.Испытаеш, а потом увидиш разницу.
Удачи.:up:

Сканирование портов
 

Установил, ради интереса, одну программку, которая следит за состоянием реестра и портов. Так вот, бывает - орет зверски и в .log записывает следующее:

"
Type of attack: Possible TCP port scanning

Time: The time is Sun Oct 30 09:27:14 2005 [Local GMT bias +3:00]

Source IP: 62.118.144.160 (ppp144-160.dialup.mtu-net.ru)

Ports: 3490->80

"
Это один из постоянных "клиентов" . Я понимаю, что мой комп попадает под сканирование так же как тысячи других, но может есть какие-то способы :aggressiv воздействия на подобные аттаки. Сегодня, например, было более 30 аттак, в основном:

"Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 09:19:22 2005 [Local GMT bias +3:00]
Source IP: 204.15.224.148 ()
Ports: 1716->9815
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 09:19:29 2005 [Local GMT bias +3:00]
Source IP: 204.15.224.148 ()
Ports: 2484->9815
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 09:19:36 2005 [Local GMT bias +3:00]
Source IP: 204.15.224.148 ()
Ports: 3558->9815
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 09:20:40 2005 [Local GMT bias +3:00]
Source IP: 205.209.187.80 ()
Ports: 3411->9815
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 09:20:47 2005 [Local GMT bias +3:00]
Source IP: 205.209.187.80 ()
Ports: 3943->9815
"

infamous
Из официальных - жалоба провайдеру (твоему и/или источника). Любое активное противодействие является нарушением законодательства (уголовного, административного, гражданского). Разумнее ограничится настройкой своей собственной безопасности.

Вирус Lovesan и им подобные так действуют.
В суд подать на провайдера полюбому надо! ;)

Смотрите, что делается :

"-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:50 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3155->80
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:51 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3189->80
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:52 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3155->80
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:53 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3189->80
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:53 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3225->443
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:54 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3230->443
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:55 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3225->443
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:55 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3230->443
-------------------------------------------------------------------------
Type of attack: Possible TCP port scanning
Time: The time is Wed Nov 23 13:00:57 2005 [Local GMT bias +3:00]
Source IP: 62.118.145.198 (ppp145-198.dialup.mtu-net.ru)
Ports: 3225->443
"

Я отправлял письмо mtu месяц назад, никакой реакции. Я думаю это один и тот же пользователь mtu.

infamousНу и шо?
Я так понимаю по ЭП? Пока не будет ФЗ об электронном документе и подзаконных актов об ЭЦП (а без нее электронное письмо нельзя будет признать авторизованным) переписка по ЭП не может считаться официальной. По крайней мере в суде это не будет считаться доводом в твою пользу (есть нюансы на счет провайдера, но это как правило не для "простых смертных").
Большинсво сканирований делает не сами пользователи, а их зомби-компьютеры, инфицированные соответствующими закладками. Активное противодействие может привести к обоснованному протесту как со стороны обоих провайдеров, так и со стороны самого "зомби" и даже хацкера. В этом случае со стороны закона ты будешь виновен. А дальнейшее уже зависит от многих факторов (это как в анегдоте про "неуловимого" Билли).

Если ты хочешь быть чист перед законом, а пассивных мер тебе мало, то ты должен написать бумажное письмо провайдеру MTU по его официальному адресу, при этом (чтобы не было "недоразумений") письмо надо отправлять заказным с подтверждением доставки. В письме указать свою проблему приложив имеющиеся журналы и попросив принятия мер или хотя бы прокомментировать данную ситуацию. Далее - зависит от их ответа. В случае же не ответа их в определенный срок (вроде гражданский кодекс устанавливает, 30 или 60 дней) ты можешь повторно запросить у них ответа с предупреждением о возможном обращении в суд с протестом уже на самого провайдера о несоблюдении им определенных правил. А уже после неответа на 2-ое письмо, у тебя будут основания для обращения в суд на самого провайдера (можно конечно и после неответа на первое письмо, но это бессмысленно, т. к. юристы могут найти причины неответа и на больше, чем игнорирование ты не добъешся, а в этом случае еще отдельное гражданское дело нужно будет по оценке причененного из-за неответа ущерба). Как вариант, провайдер может либо закрыть тому пользователю доступ (наиболее вероятно) либо предоставить тебе данные о нем, если ты давал соответствующий запрос (маловероятно, как правило здесь идет ссылка на конфиденциальнось, а соответствующие данные выдаются только по решению суда, поэтому и нужно второе письмо, где это упоминается). Вот так это делается по закону. Запарно? Не то слово. Именно поэтому наиболее эффективно и безболезненно - пассивная защита...

Сканирование портов
 

Такая ситуация. Работая в интернете мой Outpost Firewall Pro ver. 2.7 выдал сообщение об обнаружение попытки сканирование портов. Сканированы были несколько портов, но все они были заблокированы изначально. Outpost заблокировал его на 5 минут, так же он определил его ip. Можно ли его как-нибудь по его ip вычислить? Да, забыл сказать, что Outpost еще указал на 11 запросов на соединение.

Ну про IP можешь посмотреть соответствующий топик в Сетях. Также можно посмотреть поисковиком где он засветился... Но вот мысл? В большинстве случаев это автоматическая работа "зомби". В домашних сетях такие случаи постоянны, как и при подключении с выделенкой. Для инета это норма, это же помойка... Если бя по каждому случаю парился, то у меня бы не оставалось времени ни на что остальное... К тому же у аутпоста нередки ложные срабатывания при определении сканирования портов, наиболее часто - от используемого прокси-сервера.

Greyman
Спасибо за консультацию. Но все же любопытно, как по ip вычисляют твое место расположение и может ли прокси-сервер 100% гарантировать не определение твоего истинного ip. Где-нибудь можно про это почитать?

100% гарантировать не может (особенно если это прокси провайдера=)
При желании вычислят, даже если используешь несколько последовательных прокси. Но реально в России этим не занимаются. Почти не занимаются =^_^=
А по интерстранам возникнут скорее юридическо-политические проблемы, чем технические. Т.е. вычислят, но в тюрьму посадить не смогут.

Название топика оч. близки, поэтому задам вопрос сюда:

Как можно просканировать порты доступные для почты на почтовом сервере mail.kursknet.ru ?

http://ripe.net/

НО:

Кто-то сканирует порты
 

Из журнала файрволла (Agnitum Outpost) видно, что кто-то с одного IP из нашей районной сети сканирует порты моего компа. Уже дней десять - перебирает один за другим, по порядку, в диапазоне где-то от 1080 до 5000 (очень примерно). Файрволл его не пускает, но такое внимание со стороны незнакомца несколько неприятно. Что можно с ним сделать?

написать провайдеру районной сети. (Кстати меня когда-то сканировали именно с одной из машин провайдера. После вежливого письма, в котором было выражено мое недоумение по этому поводу, - отстали).

А если это не провайдер?
Кроме того, в любом случае хотелось бы хоть как-то щёлкнуть по носу в ответ.
...Да, я кровожадный и беспощадный. :dwarf:
Подскажите, какую ответную атаку можно провести? Желательно попроще (для меня) и без катастрофических (для него) последствий.

bourger
Много чего... например отдать ему ключи от квартиры где деньги лежат...

Могут быть пассивные и активные методы. Из пассивныъ это просто блокировка его IP у себя на компе. Активные есть как разрешенны, так и запрещенные. О разрешенных уже сказала mar, как вариант, можно обратиться в отдел "К", управление "Р" или как там это еще сейчас называется в МВД (вероятность того, что пошлют, на несколько порядков выше, чем вариант с админами)...

Иные варианты являются нарушением и делают тебе ничем не лучше него самого... Если пофиг - к хацкерам... Здесь этому не место :moderator

Понятно.
А как заблокировать его IP? Через файрволл?

Создайте правило: Параметры-системные-добавить- .... далее укажите адрес(порт) и желаемые действия. Ну..а если вежливо.. послать NET SEND на адрес и попросить либо прекратить атаки, либо провериться на вирусы?

Периодическое сканирование порта - "кто стучится в дверь моя..."
 

Купил комп и после установки "ждентельменского" набора программ (как на старом) появилась "засада" - NAV периодически (20-30 мин) отсекает попытки сканирования порта :

Norton Internet Worm Protection has detected and blocked an intrusion attempt.

Intrusion : Portscan
Intruder : 10.3.61.163 (4347)
Risk Level : Medium
Protocol : UDP
Attacted IP : 255.255.255.255
Attacked Port : 26904

Что это, как это пресечь, что-бы он "не достучался". Можно поставить Outpost - но я в настройках сетевых не силен...
Буду признателен за прояснение ситуации.

Все время один и тот-же порт?

Да - 26904.

Поставил APS - утилиту для обнаружения сканирования портов (Утилита APS предназначена для: 1. Обнаружения разного рода атак (в базе APS более сотни портов, используемых червями и Backdoor - компонентами) и организации Honeypot 2. Для тестирования сканеров портов и сетевой безопасности. 3. Для тестирования и оперативного контроля за работой Firewall. 4. Блокирования работы сетевых червей и Backdoor модулей и их обнаружение, http://kazus.ru/programs/download/41...protect=515602)

Атакующий хост: 10.3.56.237 10.3.56.237
дата/время начала сканирования: 18.07.2007 15:20:36
дата/время последнего сканирования: 18.07.2007 15:20:36
кол-во сканирований: 1
кол-во подозрений на DoS: 0
Атаковано портов 1
6112/ кол-во атак = 1, подозрений DoS = 0
Экспресс-оценка:
Сканирование портов : не обнаружено
Flood портов : не обнаружен
DoS атаки : не обнаружены

O , а сейчас другой пинганули - 6112

Атаки идут минуты через 3-5. Атакующие хосты разные: 10.3.58.215, 10.3.56.237, 10.3.59.209
Проверил NAV 2005 с последними обновлениями - ничего не нашел...

Если один и тот же порт, да еще и UDP - может...
Кто знает, какая игрушка сервер на этом порту поднимает? :)
...может просто твой сосед по локалке сервачок на предмет порубаться ищет?

webser

ввв.computec.ch/forum_viewtopic.php?6.13200
Хоть я в немецком не шарю, просто посоветую создать правило в межсетевом экране такого вида

Где направление входящее
Где удалённый адрес (тип "подсеть") 10.3.56.1 / 10.3.58.255
Где удалённый порт 4347
Где протокол UDP
Блокировать эти данные

webser
Согласен с CyberDaemon по поводу игр... Ну а пресечь... У тебя и щас NAV с этим справляется. Ну а для закрытия подобных попыток подключения вполне достаточно воспользоваться встроеным экраном WinXP SP2 / Vista (не ясно какая у тебя ОС), внешние подключения они достаточно надежно блокируют. О его настройках поищи в инете и на нашем форуме...

мне кажется это не страшно, у меня несколько раз выскакивало токае предупреждение от оутпоста: сканирование портов Rambler.ru и их IP...

Ребяты, помогите. Есть подобная проблема, файер ZoneAlarm постоянно фиксит атаки с разных IP'ов и портов. Загвозда в том что без файера моя ХП больше недели не работала - начинала жутко тормозить. А за 3ч. кол. таких атак достигает более тысячи. С трудом верится про игры в данной ситуации :unsure:

Здравствуйте, подскажите что делать. Уже чуть больше недели ESET ругается что кто то сканирует мои порты.



Лог:

И как сделать так что бы этот ip мне больше не мозолил глаза?



Левое ПО не ставил,и по сайтам левым тоже не лазил.
OC Win XP

И еще один ip