форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Сканирование сети"
Сообщение от AlexK on 16-Ноя-01, 12:22  (MSK)
Народ! Подскажите как бороться с компанией X (IP 212.82.212.198), которая регулярно сканирует порты на моей машине. Улетает на это по несколоко Mb в сутки. Обращение к ISP и фирме продавшей им доменное имя (register.com) результата не принесло :(
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Сканирование сети"
Сообщение от bio on 16-Ноя-01, 12:26  (MSK)
>Народ! Подскажите как бороться с компанией >X (IP 212.82.212.198), которая регулярно >сканирует порты на моей машине. >Улетает на это по несколоко >Mb в сутки. Обращение к >ISP и фирме продавшей им >доменное имя (register.com) результата не >принесло :( если UNIX ставь Portsentry проблема исчезнет
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Сканирование сети"
	Сообщение от AlexK on 16-Ноя-01, 12:49  (MSK)
	> >если UNIX ставь Portsentry проблема исчезнет > Какое преимущество у Portsentry перед настроенным ipchains? ipchains их никуда не пускает, но на каждую попытку сканирования одного моего порта уходит 60 байт траффика. Вроде немного, но в сумме за сутки набегает порядочно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Сканирование сети"
	Сообщение от Mikka on 16-Ноя-01, 12:59  (MSK)
	Насколько я понял, от сканов Вы избавились с помощью ipchains (ну или любого друго фильтра). Осталась проблема - вход трафик при сканировании. Увы, выход я вижу один - traffic shaper на данную сеть/узел/узлы. Лучше всего конечно делать это на cisco (traffic-shaper), если вы через нее подключены к провайдеру. Если же нет (или нет к ней доступа) - use cbq (пакет iproute2 + ядро собрать с соответств. функциями).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Сканирование сети"
	Сообщение от AlexK on 16-Ноя-01, 13:10  (MSK)
	>Насколько я понял, от сканов Вы >избавились с помощью ipchains (ну >или любого друго фильтра). Осталась >проблема - вход трафик при >сканировании. >Увы, выход я вижу один - >traffic shaper на данную сеть/узел/узлы. >Лучше всего конечно делать это >на cisco (traffic-shaper), если вы >через нее подключены к провайдеру. >Если же нет (или нет >к ней доступа) - use >cbq (пакет iproute2 + ядро >собрать с соответств. функциями). Все чем я могу крутить это модем на моей стороне выделенки (вкл/выкл ;). Обращение к провайдеру ничего не дает. А что даст cbq ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Сканирование сети"
Сообщение от Alex Shipov on 16-Ноя-01, 15:20  (MSK)
>Народ! Подскажите как бороться с компанией >X (IP 212.82.212.198), которая регулярно >сканирует порты на моей машине. >Улетает на это по несколоко >Mb в сутки. Обращение к >ISP и фирме продавшей им >доменное имя (register.com) результата не >принесло :( Попробуй написать на doka@kiev.sovam.com (если это действительно 212.82.212.198), у них твои сканнерщики видимо арендуют диапазон адресов. Хорошо бы добавить в письмецо: 1. The Traceroute/whois log 2. The Main window log 3. Your time zone 4. The date this took place
	Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Сканирование сети"
Сообщение от AlexK on 16-Ноя-01, 16:05  (MSK)
Тут мысль пришла в голову.Могу-ли я перенаправить запрос на сканирование отправителю? Тоесть что-бы они сканировали сами себя.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Сканирование сети"
	Сообщение от lavr on 16-Ноя-01, 16:15  (MSK)
	>Тут мысль пришла в голову.Могу-ли я >перенаправить запрос на сканирование отправителю? >Тоесть что-бы они сканировали сами >себя. 1. Если это не заспуфленый адрес, то обязательно отправить письмо ответственному за этот блок - если ответ от регистраторов и держателей этих сетей НЕ ПРИШЕЛ, завернуть скан на их самих(понятно что это крайний случай) unix1> whois -h unix1.jinr.ru 212.82.212.198 Results: % This is the RIPE Whois server. % The objects are in RPSL format. % Please visit http://www.ripe.net/rpsl for more information. % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html inetnum:      212.82.212.192 - 212.82.212.223 netname:      COLOCATION-SOVAMNET descr:        This is a Svit-On-Line internal network country:      UA admin-c:      DOKA1-RIPE tech-c:       TVF1-RIPE status:       ASSIGNED PA notify:       security@svitonline.com mnt-by:       SOVAMUA-MNT changed:      tanya@svitonline.com 20010511 source:       RIPE route:        212.82.192.0/19 descr:        Svitonline Network origin:       AS12530 mnt-by:       SOVAMUA-MNT changed:      doka@kiev.sovam.com 20001103 source:       RIPE person:       Vladimir Litovka address:      14/16, Lebedeva-Kumacha St. address:      Kiev, 03058, Ukraine phone:        +380 44 4900111 fax-no:       +380 44 4906090 e-mail:       doka@svitonline.com nic-hdl:      DOKA1-RIPE notify:       doka@kiev.sovam.com mnt-by:       GTNET-MNT changed:      doka@kiev.sovam.com 20000718 source:       RIPE person:       Tatyana Forsyuk address:      Golden Telecom address:      9 Leontovicha Str. address:      Kiev, Ukraine phone:        +380 44 4900111 fax-no:       +380 44 4900111 e-mail:       tanya@svitonline.com remarks:      Please send abuse notification to abuse@svitonline.com nic-hdl:      TVF1-RIPE notify:       tanya@svitonline.com mnt-by:       SOVAMUA-MNT changed:      tanya@svitonline.com 20010919 source:       RIPE видим что это солидные ребята, я уверен что ребята ответят и примут меры, еще и будут благодарны. 2. Отписать в соответствующие органы CERT 3. Отписать в security mail-list'ы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Сканирование сети"
	Сообщение от Alex Shipov on 16-Ноя-01, 16:15  (MSK)
	>Тут мысль пришла в голову.Могу-ли я >перенаправить запрос на сканирование отправителю? >Тоесть что-бы они сканировали сами >себя. B Portsentry есть возможность ответных действий, например посылка нюка в ответ на сканирование.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Сканирование сети"
	Сообщение от AlexK on 16-Ноя-01, 16:34  (MSK)
	>B Portsentry есть возможность ответных действий, >например посылка нюка в ответ >на сканирование. Может-ли Portsentry работать совместно с ipchains или ipchains надо выключать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Сканирование сети"
	Сообщение от Alex Shipov on 16-Ноя-01, 16:50  (MSK)
	>>B Portsentry есть возможность ответных действий, >>например посылка нюка в ответ >>на сканирование. > >Может-ли Portsentry работать совместно с ipchains >или ipchains надо выключать? Насколько я понимаю (могу и ошибаться), все порты не должны быть закрыты ipchains, во всяком случае можно попробывать оставить открытыми с 1 по 9 и 137-139 если нет виндозных шар. http://www.linuxrsp.ru/artic/portsentry.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Сканирование сети"
Сообщение от AlexK on 16-Ноя-01, 18:06  (MSK)
Так всетаки как заставить их сканерить самих себя?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Сканирование сети"
	Сообщение от Alex Shipov on 16-Ноя-01, 18:14  (MSK)
	>Так всетаки как заставить их сканерить >самих себя? тут же гуру уже писал :) unix1> whois -h твой.хост.ru 212.82.212.198
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: Сканирование сети"
	Сообщение от Alex Shipov on 16-Ноя-01, 18:16  (MSK)
	>>Так всетаки как заставить их сканерить >>самих себя? > >тут же гуру уже писал :) > >unix1> whois -h твой.хост.ru 212.82.212.198 сорри, это не то :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: Сканирование сети"
	Сообщение от lavr on 16-Ноя-01, 19:32  (MSK)
	>Так всетаки как заставить их сканерить >самих себя? а подумать? в крайнем случае поискать в security-mail list'ах и архивах, там все есть, расписывать сие открытым текстом - не есть good. (обычно весь трафик ip-scan -> my-ip заворачивается ровно взад my-ip -> ip-scan)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.