Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
dial-up via MTU... flood, scanners and trojans 31.12.03 04:03
Автор: jammer <alex naumov> Статус: Elderman
|
Случайно ковыряясь в файрволле и изучая вредные сетевые привычки нужного мне софта, делающего иногда ненужные вещи за мой счет (выражающиеся и в финансах и личном времени), выяснил весьма интересные вещи: на динамически выделенный IP-адрес МТУ-шного диалапа непрерывно приходят входящие TCP-пакеты с попыткой соединиться - в основном с dialup-ных адресов того же МТУ.
интересующие удаленных собратьев по разуму порты на моем шлюзе:
loc-srv 135/tcp Location Service
netbios-ns 137/tcp NETBIOS Name Service
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/tcp NETBIOS Datagram Service
netbios-dgm 138/udp NETBIOS Datagram Service
microsoft-ds 445/tcp Microsoft-DS
ms-sql-m 1434/udp Microsoft-SQL-Monitor
возникает вопрос, с какими целями dialup-сервер пропускает такие пакеты. есть идеи по поводу того, для чего это нужно? возможно, сетевое окружение увидеть - в смысле своих соседей-диалапщиков по несчастью. может быть, mp3 какие у них с диска С: покачать :))) хотя я всегда думал, что такие вещи через dialup почти не делаются, ну и в любом случае для этого нужно что-то типа VPN.
я конечно не обвиняю других юзеров в сознательном желании нанести вред моей системе (кстати, интересно, провайдер как-то отслеживает весь этот трафик, генерируемый толи вирусами-троянами, толи сканерами портов с совершенно разных адресов своего dial-up, как-то информирует ползователей - кто кроме него может знать какой IP в какой момент времени был выдан какому пользователю и какой у него зарегистрирован адрес e-mail в домене @mtu-net.ru ?) - но было бы весьма интересно узнать, с какой целью данный трафик пропускается - задержать подольше на линии юзера, платящего повременную оплату? а если у него тарифный план типа ночного анлима? вообще непонятно...
привожу короткий пример, дабы не засорять сообщение. хотелось бы сказать, что рассмотренный период полностью характерен и не зависит ни от назначенного IP, ни от времени суток. возможно ситуация зависит от dialup-провайдера?
кстати, в москве кто каким провайдером для dial-up пользуется? буду рад любым комментариям. спасибо заранее.
итак, 46 пакетов за 17 минут = 2.7 пакета в минуту. кстати, примерно каков средний размер такого пакета в "сыром" виде (на уровне суммы соответствующих IP-пакетов, а еще лучше - на уровне PPP) - дабы примерно прикинуть? спасибо еще раз.
PS. для справок также использовался http://www.all-nettools.com/tools1.htm
SmartWhois ppp147-189.dialup.mtu-net.ru (62.118.147.189) 62.118.128.0 - 62.118.159.255 ZAO MTU-Intel 27-29 Smolenskaya-Sennaya Sq., bld. 2 119121, Moscow Russia ------------------------------------------------------------------------------- Kirill B Samoylov ZAO MTU-Intel Smolenskaya-Sennaya Sq., 27-29, build.2 P.O. BOX 38 119121 Moscow, Russia +7 095 7213498 +7 095 2587870 myxa@mtu.ru -------------------------------------------------------------------------------- Olga A Dzyubina ZAO MTU-Intel Moscow, Russia, 119121 P.O. BOX 38 Smolenskaya-Sennaya sq., 27-29, bld. 2 +7 095 2587878 +7 095 2587870 olga@mtu.ru -------------------------------------------------------------------------------- SmartWhois ppp101-235.dialup.mtu-net.ru (212.188.101.235) 212.188.96.0 - 212.188.111.255 ZAO MTU-Intel bld. 2, 27-29 Smolenskaya-Sennaya Sq. 119121, Moscow Russia -------------------------------------------------------------------------------- Aleksey Sadchikov ZAO MTU-Intel Moscow, Russia, 119121 P.O. BOX 38 Smolenskaya-Sennaya sq., 27-29, bld. 2 +7 095 2587878 +7 095 2587870 asadchik@mtu.ru
[...дальше опять же Самойлов и Дзюбина...]
приложение1: лог файрволла за 17 минут - характерный участок
приложение2: RFC 1700
|
|
Вирусы неистребимы... :(
08.01.04 12:23
Автор: VEK Статус: Незарегистрированный пользователь
|
> loc-srv 135/tcp Location Service
> netbios-ns 137/tcp NETBIOS Name Service
> netbios-ns 137/udp NETBIOS Name Service
> netbios-dgm 138/tcp NETBIOS Datagram Service
> netbios-dgm 138/udp NETBIOS Datagram Service
> microsoft-ds 445/tcp Microsoft-DS
> ms-sql-m 1434/udp Microsoft-SQL-Monitor
Вирусы неистребимы... :(
135, 445 - Blaster (Lovsan)
1434 -SqlSlammer
> возникает вопрос, с какими целями dialup-сервер пропускает
> такие пакеты. есть идеи по поводу того, для чего это нужно?
> возможно, сетевое окружение увидеть - в смысле своих
> соседей-диалапщиков по несчастью. может быть, mp3 какие у
> них с диска С: покачать :))) хотя я всегда думал, что такие
> вещи через dialup почти не делаются, ну и в любом случае
> для этого нужно что-то типа VPN.
А почему пров обязан закрывать какие-либо порты? Дело добровольное. Завтра найдутся новые дыры в ПО всем известной фирмы и снова нужно будет совершать лишние телодвижения и править ACL на циске :))) И вообще юзеры тоже должны заботиться, чтобы на их компах вирусов не было. Или, наоборот, завтра появится клиент, который без этих портов работать никак не может. У меня было такое, когда на циске закрыл 135 порт для борьбы с Blaster'ом, сразу же нашелся клиент, у которого два офиса соединены нашим каналом (правда не dial-up) и им нужен 135 порт. Пришлось для его адресов открывать все. А что мешает потребовать, чтобы из дома по диалапу я мог получить все сервисы на офисном сервере? А поднятие VPN - дело добровольное, ну, не хочет клиент или не умеет :) В общем совет, если мешает, обращайтесь в support@... Думаю, они разъяснят свою политику.
ЗЫ. У меня для модемного пула порты 135-139 закрыты, клиенты не жалуются :)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
