Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
входящие не зарегестрированые в NAT пакеты с командой SYN - на сколько страшно? 07.08.03 12:33
Автор: vladdt Статус: Незарегистрированный пользователь
|
WinRoute часто регистрирует входящие пакеты типа:
NAT: + proto:TCP, len:74, ip+port:195.139.52.138:80 -> <мой адрес>:46291, flags: SYN ACK , seq:180533792 ack:3089959101, win:65535, tcplen:0
NAT: + proto:TCP, len:62, ip+port:210.237.32.94:2857 -> <мой адрес>:445, flags: SYN , seq:724452125 ack:0, win:16384, tcplen:0
Это нормальное явление или атака?
|
|
входящие не зарегестрированые в NAT пакеты с командой SYN - на сколько страшно? 07.08.03 12:46
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> WinRoute часто регистрирует входящие пакеты типа:
> NAT: + proto:TCP, len:74, ip+port:195.139.52.138:80 ->
> <мой адрес>:46291, flags: SYN ACK , seq:180533792
> ack:3089959101, win:65535, tcplen:0
Это ответ на твой SYN к веб-серверу непонятно почему он "незарегистрированый", но я ничем помочь не могу - винрут не юзал.
> NAT: + proto:TCP, len:62, ip+port:210.237.32.94:2857 ->
> <мой адрес>:445, flags: SYN , seq:724452125 ack:0,
> win:16384, tcplen:0
А это скан на нетбиос.
> Это нормальное явление или атака?
Второе это атака, но атака - это нормальное явление :)
|
| |
незнание - божий дар 07.08.03 12:58
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
если поставишь какой-нить IDS увидишь что попыток взлома или просто проб на прочность намного больше чем ты думал ;-))... знание - страшная сила, незнание - божий дар
|
| | |
почему возник этот вопрос - тоже интересно 07.08.03 13:28
Автор: vladdt Статус: Незарегистрированный пользователь
|
на сервере у меня 3 сетевых интерфейса, по каждому для разных фирм и интернет модем ISDN. (я типа провайдер). WinRoute используется как маршрутизатор, а Kerio Network Monitor считает трафик, но понимает он только сетевые интерфейсы, а RAS нет. Так вот, сверяю траффик за месяц с данными провайдера: с входящим на меня траффиком все впорядке - данные провайдера приблизительно равняются сумме по трем сетевым, а вот с исходящим на 450 мб больше, и это при том что входящий в пределах 2 гиг. Хотя все превышение не вышло за адресное пространство провайдера (бесплатный траффик). Тут просто соседями недавно СБУ (служба безопасности украины) интересовалась, так я подумал может это они качнули с серванта базы данных?
Что скажите?
|
| | | |
если так как ты говоришь 07.08.03 13:47
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
что исходящий траффик только до прова, то скорее всего это просто они с почтой переусердствовали
|
|
|
подробно о проекте
Анализ криптографических сетевых...
