Господа, подскажите, есть ли распространённый способ атаки по указанному порту (порт закрыт) и может ли это быть причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На внешний интерфейс с двух адресов сыплются широковещательные пакеты с частотой 31 сек. У прова подключены через хаб. Может я каку важную инфу пропустил? Подскажите, плиз.
А rip у нас по какому порту работает?21.10.03 21:40 Автор: StR <Стас> Статус: Elderman
> Господа, подскажите, есть ли распространённый способ атаки > по указанному порту (порт закрыт) и может ли это быть > причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На > внешний интерфейс с двух адресов сыплются широковещательные > пакеты с частотой 31 сек. У прова подключены через хаб. Как раз через 30 сек идут обновления маршрутов...
А rip у нас по какому порту работает?22.10.03 08:10 Автор: Deviator <n/a> Статус: Member
[...]
> Как раз через 30 сек идут обновления маршрутов...
удивила синхронность начала этого процесса, причём, посыпались эти пакеты только с 2-х адресов (в прововский хаб воткнуто больше). да и не ожидал я, что RIP сыплет каждые 31 сек. пакеты по адресу 255.255.255.255, как то неправильно это выглядит.
каждые 31 сек., круглые сутки, несколько недель с разных IP21.10.03 16:47 Автор: Deviator <n/a> Статус: Member Отредактировано 21.10.03 16:51 Количество правок: 1
> > причиной самопроизвольной остановки IIS 5 + MS Proxy > 2? На > > как, если закрыт? :)
а Х его знает, например, может долбёжка по 520-ому это уже следствие, а основную атаку я проворонил - пару раз указанная связка вставала без объяснения причин, после перезапуска через терминал, работает, как ни в чём небывало. на вирусы проверял, на червей то-ж...
> > внешний интерфейс с двух адресов сыплются > широковещательные > > если широковещательные, врядли это атака. или атака от > соседей?
сыплется с адресов других клиентов нашего прова, а до их админов пров достучаться не может (мож их и нет вовсе)
[...]
> router 520/udp local routing process (on site); > # uses variant of Xerox NS routing > # information protocol - RIP
это я сразу посмотрел, как оно посыпалось, только не знаю, кто и как может данный порт юзать штатно и можно ли через него нагадить соседу? мож кто знает.
Не надо волноваться22.10.03 00:51 Автор: void <Grebnev Valery> Статус: Elderman
Читал топик бегло. Могу ошибаться. Может и не въехал в суть вопроса.
На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме того, что Вы имеете или криворукого провайдера, или жадного провайдера.
Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к. если я окажусь прав, то назвать Вашего провайдра провайдером можно с трудом) включает Ваш "внешний" интерфейс и интерфейсы других своих клиентов в хаб или аналогичное устройство с общей шиной. Один из портов этого устройства смотрит в один единственный свободный порт маршрутизатора провайдера. Такое "подключение" провайдеры используют тогда, когда не имеют требуемого кол.ва свободных портов на маршрутизаторе, и не знают как, или не могут по своей недалёкости это сделать. (нарезаются порты - известно как - при помощи создания виланов).
В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной рассылки (а не широковещательные вообще, как Вы пишете) будут достигать Вашего "внешнего" интерфейса. Никакой атаки, кроме криворукости системщиков провайдеров в этом случае нет.
ПС. Если верно, что я говорю, то Вам надо побеседовать с руководством провайдера, и попросить "выделить" Вам отдельный порт на маршрутизаторе провайдера. Как это будет реализовано - вам выделят физически независимый порт на киске для монопольного использования, или это будет порт вилана - дело десятое.
хорошо - не буду :-)22.10.03 08:21 Автор: Deviator <n/a> Статус: Member
> Читал топик бегло. Могу ошибаться. Может и не въехал в > суть вопроса. > > На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме > того, что Вы имеете или криворукого провайдера, или жадного > провайдера. > > Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к. > если я окажусь прав, то назвать Вашего провайдра > провайдером можно с трудом) включает Ваш "внешний" > интерфейс и интерфейсы других своих клиентов в хаб или > аналогичное устройство с общей шиной. Один из портов этого > устройства смотрит в один единственный свободный порт > маршрутизатора провайдера.
именно так - клиенты к хабам, хабы в свичи, свичи - каскадом
> Такое "подключение" провайдеры > используют тогда, когда не имеют требуемого кол.ва > свободных портов на маршрутизаторе, и не знают как, или не > могут по своей недалёкости это сделать. (нарезаются порты - > известно как - при помощи создания виланов). > > В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной > рассылки (а не широковещательные вообще, как Вы пишете)
понятно, что ограничение всё равно произойдёт (например, первый-же шлюз с фильтрацией), но изначально, адрес 255.255.255.255 ограничений не предполагает - или я ошибаюсь?
> будут достигать Вашего "внешнего" интерфейса. Никакой > атаки, кроме криворукости системщиков провайдеров в этом > случае нет.
это радует, относительно, конечно, но радует
> ПС. Если верно, что я говорю, то Вам надо побеседовать с > руководством провайдера, и попросить "выделить" Вам > отдельный порт на маршрутизаторе провайдера. Как это будет > реализовано - вам выделят физически независимый порт на > киске для монопольного использования, или это будет порт > вилана - дело десятое.
да уже общались на эту тему - пока безрезультатно.
спасибо
(ещё раз спасибо всем откликнувшимся)
Про ограниченную22.10.03 13:27 Автор: void <Grebnev Valery> Статус: Elderman
> именно так - клиенты к хабам, хабы в свичи, свичи - > каскадом
Так делают перекупщики интернета, которые называют себя гордо субпровайдерами в %опинск-Урюпинске, с котором я живу.
Да известное дело.
> понятно, что ограничение всё равно произойдёт (например, > первый-же шлюз с фильтрацией), но изначально, адрес > 255.255.255.255 ограничений не предполагает - или я > ошибаюсь?
Немного ошибаетесь. В терминологии.
Не очень понятно почему, но принята такая терминология:
255.255.255.255 - это ограниченная широковещательная рассылка, т.е. всем (во все сети, всем хостам).
Широковещательная рассылка - это рассылка всем хостам ТОЛЬКО ВАШЕЙ СЕТИ.
> > это радует, относительно, конечно, но радует >
В принципе им предъявить можно. Неоправданный технический трафик и т.д. Раз они такое, как у Вас делают, то и в этом случае недошурупят.
Так, что давите на их начальство. Технически - проблемы не существует.
> да уже общались на эту тему - пока безрезультатно.
Во-во. Давите. Всё получится.
сенксы22.10.03 13:58 Автор: Deviator <n/a> Статус: Member
[...]
> 255.255.255.255 - это ограниченная широковещательная > рассылка, т.е. всем (во все сети, всем хостам). > > Широковещательная рассылка - это рассылка всем хостам > ТОЛЬКО ВАШЕЙ СЕТИ.
сенкс, буду знать
[...]
> > да уже общались на эту тему - пока безрезультатно. > > Во-во. Давите. Всё получится.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
