Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Как из этого следует то что это не из-за фтп сервера?... 28.01.05 01:39 Число просмотров: 3604
Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 28.01.05 01:48 Количество правок: 1
|
> Комп виндовый - ХР с автоматич. затяжкой всех патчей. > У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не > от него – в commview настроил оповещение, в случае > обнаружения пакета с моим адресом в поле destinationIP и > флагом SYN, т.е. если кто-то подключается ко мне по TCP к > любому порту – я моментально об этом узнаю. Как из этого следует то что это не из-за фтп сервера? Объясня. как работает фтп - клиент подключившись к серверу использует соединение на 21й порт только для команд. Данные (список файлов, их содержимое) передаются через вторичные соединения. Причем клиент договаривается с сервером через 21й порт на какой ип и порт будет происходить вторичное подключение. Таким образом для передачи файлов в активном режиме клиент инициирует прослушивание какого-либо дополнительного тсп порта, сервер подключается к нему и происходит передача данных. В том случае когда используется пассивный режим то серверный порт для одного подключения открывается на стороне фтп сервера и к нему подключается клиент. Номера портов кстати рандомные, обычно - 1024-5000.
> Снимал данные след. образом – на свиче (у нас сиськи) > сделал SPAN для его порта, т.е. весь его трафик > редиректится на отдельный комп, на кот. стоит снифер с > правилами выдирать все пакеты, в которых есть мой > МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP), > кот. шли где-то каждые 12 минут и всю эту ерунду, что я > описал раньше. > По времени инициализации сессий похоже, что ЭТА штука не > привязана по времени никак к широковещательным пакетам > нетбиоса. > > Сегодня он ко мне не подключался вообще (с утра укатил в > командировку). Очень интересную картину обнаружил, > просканировав себя с другого соседского компа – на 12 дня > открыты порты, кот. не должны быть открытыми: > > |___ 1151 > |___ 1187 > |___ 3181 > |___ 3894 > > на 15:30 картина такая: > |___ 1187 > |___ 3181 > |___ 3894 > > и на 18:00 > |___ 1187 > |___ 3894 > |___ 4278 > > Насколько я понимаю, эти порты вообще из диапазона, кот. > предназначен для сессий, инициируемых с моего компа при > подключении к удаленным… > > Стандартные средства (netstat –a) и еще с пом-ю > программулины DiamondCS port explorer, не показывают > никаких следов того, что эти порты открыты. При попытке > подтелнетиться на любой из них происходит след. syn – > syn+ack – ack – rst, т.е. инициализация сессии происходит > успешно, после чего мой комп ее гасит… > Что очень меня смущает - поставили на левый комп его MAC- и > IP-адреса, попробовали открыть сессию, получили такую же > ерунду (я еще более детально поковыряюсь в заголовках > пакетов – может дело где-то там…) > > > Таким образом, «на сейчас» картина получается следующая – > первым сессию инициирует его комп, инициирует ее на два > соседних TCP-порта к моему компу, идет обмен данными (на > вскидку чистых данных около 200 байт, причем, сравнив > вчерашние и позавчерашние данные стало видно, что пакеты в > разные дни сильно похожи между собой), после чего попытка > подключения к этим портам дает ack+rst, т.е. закрыт > полностью. > Спустя какое-то время (предположительно, не менее получаса) > у меня появляются несколько других открытых портов, которые > не видны стандартными средствами, но прощупываются > TCP-сканерами, попытка подключиться на любой из них > приводит к успешной инициализации (3-way handshaking) и > сразу потом мой комп дает сброс. > > если кто-то знает трояна с подходящим описанием, > подскажите, пож. название. > > про RPC я пока толкового описания не нашел (чтобы с портами > и всем прочим), поищу еще, но, честно говоря, мало верится, > что это поможет – для интереса отсканировали 3 компа в > нашей комнате, «недекларированных» открытых портов ни на > одном из них нет… С RPC примерно так-же байда - через 135й порт клиент договаривается с сервером о дополнительный соединениях, для которых открываются "одноразововые" серверные сокеты. Вот ссылка например: http://support.microsoft.com/?kbid=839880 (читать около How to resolve RPC Endpoint Mapper errors)
Поставь файрволл который тебе скажет на какой именно процесс происходили подключения и расслабся Ж)
|
|
|