Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Как вариант. 13.02.09 20:06 Число просмотров: 3120
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
> Проблема:
> Второй раз за два дня пользователь у которого стоит outpost
> firewall видит в логах строки типа:
> 16:54:47 192.168.1.13 Узел заблокирован на 5 мин.
> SCAN (28934, 32006, 31494, 30982, 29958, 29702, 30726)
> Где 192.168.1.13 - внутренний адрес сервера.
>
> Что это может быт ?
> В логах сервера ничего подозрительного не замечаю
Возможный сценарий таков:
Пользователь ходит через сквид и открывает какую-то веб-страничку. По мере рендеринга кода странички запускаются несколько соединений, чтобы параллельно вытянуть несколько графических элементов. Естественно, порты при этом открываются на клиенте разные (все те же 28934, 32006, 31494, 30982, 29958, 29702, 30726, например). В какой-то момент эти соединения закрываются, а еще через некоторое время на те порты, с которых соединения устанавливались, приходят пакеты, которые уже не нужны. Почему - отдельный вопрос. То ли это дубликаты, то ли аутпост просто что-то не так отрабатывает - в любом случае он опознает это как сканирование портов, причем, адресом источника как раз и будет адрес интерфейса сквида.
Выход просто - вырубить к чертовой бабушке детектор атак в Аутпосте - как показывает практика, в DMZ этот модуль не только неактуален, но и вреден. Я так всегда и делаю :)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
Как вариант. - J'JF