информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
520/UDP - атака или небрежность в настройках? 20.10.03 07:27  
Автор: Deviator <n/a> Статус: Member
<"чистая" ссылка>
Господа, подскажите, есть ли распространённый способ атаки по указанному порту (порт закрыт) и может ли это быть причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На внешний интерфейс с двух адресов сыплются широковещательные пакеты с частотой 31 сек. У прова подключены через хаб. Может я каку важную инфу пропустил? Подскажите, плиз.
А rip у нас по какому порту работает? 21.10.03 21:40  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> Господа, подскажите, есть ли распространённый способ атаки
> по указанному порту (порт закрыт) и может ли это быть
> причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На
> внешний интерфейс с двух адресов сыплются широковещательные
> пакеты с частотой 31 сек. У прова подключены через хаб.
Как раз через 30 сек идут обновления маршрутов...
А rip у нас по какому порту работает? 22.10.03 08:10  
Автор: Deviator <n/a> Статус: Member
<"чистая" ссылка>
[...]
> Как раз через 30 сек идут обновления маршрутов...

удивила синхронность начала этого процесса, причём, посыпались эти пакеты только с 2-х адресов (в прововский хаб воткнуто больше). да и не ожидал я, что RIP сыплет каждые 31 сек. пакеты по адресу 255.255.255.255, как то неправильно это выглядит.

придётся ещё в доках покопаться

спасибо
520/UDP - может отлаживается кто? 21.10.03 16:15  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> Господа, подскажите, есть ли распространённый способ атаки
> по указанному порту (порт закрыт) и может ли это быть

об этом ничего не знаю.

> причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На

как, если закрыт? :)

> внешний интерфейс с двух адресов сыплются широковещательные

если широковещательные, врядли это атака. или атака от соседей?

efs 520/tcp extended file name server
router 520/udp local routing process (on site);
# uses variant of Xerox NS routing
# information protocol - RIP

IANA port numbers
каждые 31 сек., круглые сутки, несколько недель с разных IP 21.10.03 16:47  
Автор: Deviator <n/a> Статус: Member
Отредактировано 21.10.03 16:51  Количество правок: 1
<"чистая" ссылка>
[...]

что то слабо верится в отладку.

> > причиной самопроизвольной остановки IIS 5 + MS Proxy
> 2? На
>
> как, если закрыт? :)

а Х его знает, например, может долбёжка по 520-ому это уже следствие, а основную атаку я проворонил - пару раз указанная связка вставала без объяснения причин, после перезапуска через терминал, работает, как ни в чём небывало. на вирусы проверял, на червей то-ж...

> > внешний интерфейс с двух адресов сыплются
> широковещательные
>
> если широковещательные, врядли это атака. или атака от
> соседей?

сыплется с адресов других клиентов нашего прова, а до их админов пров достучаться не может (мож их и нет вовсе)

[...]
> router 520/udp local routing process (on site);
> # uses variant of Xerox NS routing
> # information protocol - RIP

это я сразу посмотрел, как оно посыпалось, только не знаю, кто и как может данный порт юзать штатно и можно ли через него нагадить соседу? мож кто знает.
Не надо волноваться 22.10.03 00:51  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Читал топик бегло. Могу ошибаться. Может и не въехал в суть вопроса.

На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме того, что Вы имеете или криворукого провайдера, или жадного провайдера.

Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к. если я окажусь прав, то назвать Вашего провайдра провайдером можно с трудом) включает Ваш "внешний" интерфейс и интерфейсы других своих клиентов в хаб или аналогичное устройство с общей шиной. Один из портов этого устройства смотрит в один единственный свободный порт маршрутизатора провайдера. Такое "подключение" провайдеры используют тогда, когда не имеют требуемого кол.ва свободных портов на маршрутизаторе, и не знают как, или не могут по своей недалёкости это сделать. (нарезаются порты - известно как - при помощи создания виланов).

В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной рассылки (а не широковещательные вообще, как Вы пишете) будут достигать Вашего "внешнего" интерфейса. Никакой атаки, кроме криворукости системщиков провайдеров в этом случае нет.

ПС. Если верно, что я говорю, то Вам надо побеседовать с руководством провайдера, и попросить "выделить" Вам отдельный порт на маршрутизаторе провайдера. Как это будет реализовано - вам выделят физически независимый порт на киске для монопольного использования, или это будет порт вилана - дело десятое.
хорошо - не буду :-) 22.10.03 08:21  
Автор: Deviator <n/a> Статус: Member
<"чистая" ссылка>
> Читал топик бегло. Могу ошибаться. Может и не въехал в
> суть вопроса.
>
> На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме
> того, что Вы имеете или криворукого провайдера, или жадного
> провайдера.
>
> Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к.
> если я окажусь прав, то назвать Вашего провайдра
> провайдером можно с трудом) включает Ваш "внешний"
> интерфейс и интерфейсы других своих клиентов в хаб или
> аналогичное устройство с общей шиной. Один из портов этого
> устройства смотрит в один единственный свободный порт
> маршрутизатора провайдера.

именно так - клиенты к хабам, хабы в свичи, свичи - каскадом

> Такое "подключение" провайдеры
> используют тогда, когда не имеют требуемого кол.ва
> свободных портов на маршрутизаторе, и не знают как, или не
> могут по своей недалёкости это сделать. (нарезаются порты -
> известно как - при помощи создания виланов).
>
> В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной
> рассылки (а не широковещательные вообще, как Вы пишете)

понятно, что ограничение всё равно произойдёт (например, первый-же шлюз с фильтрацией), но изначально, адрес 255.255.255.255 ограничений не предполагает - или я ошибаюсь?

> будут достигать Вашего "внешнего" интерфейса. Никакой
> атаки, кроме криворукости системщиков провайдеров в этом
> случае нет.

это радует, относительно, конечно, но радует

> ПС. Если верно, что я говорю, то Вам надо побеседовать с
> руководством провайдера, и попросить "выделить" Вам
> отдельный порт на маршрутизаторе провайдера. Как это будет
> реализовано - вам выделят физически независимый порт на
> киске для монопольного использования, или это будет порт
> вилана - дело десятое.

да уже общались на эту тему - пока безрезультатно.

спасибо

(ещё раз спасибо всем откликнувшимся)
Про ограниченную 22.10.03 13:27  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> именно так - клиенты к хабам, хабы в свичи, свичи -
> каскадом

Так делают перекупщики интернета, которые называют себя гордо субпровайдерами в %опинск-Урюпинске, с котором я живу.
Да известное дело.


> понятно, что ограничение всё равно произойдёт (например,
> первый-же шлюз с фильтрацией), но изначально, адрес
> 255.255.255.255 ограничений не предполагает - или я
> ошибаюсь?

Немного ошибаетесь. В терминологии.
Не очень понятно почему, но принята такая терминология:

255.255.255.255 - это ограниченная широковещательная рассылка, т.е. всем (во все сети, всем хостам).

Широковещательная рассылка - это рассылка всем хостам ТОЛЬКО ВАШЕЙ СЕТИ.

>
> это радует, относительно, конечно, но радует
>

В принципе им предъявить можно. Неоправданный технический трафик и т.д. Раз они такое, как у Вас делают, то и в этом случае недошурупят.
Так, что давите на их начальство. Технически - проблемы не существует.


> да уже общались на эту тему - пока безрезультатно.

Во-во. Давите. Всё получится.
сенксы 22.10.03 13:58  
Автор: Deviator <n/a> Статус: Member
<"чистая" ссылка>
[...]
> 255.255.255.255 - это ограниченная широковещательная
> рассылка, т.е. всем (во все сети, всем хостам).
>
> Широковещательная рассылка - это рассылка всем хостам
> ТОЛЬКО ВАШЕЙ СЕТИ.

сенкс, буду знать

[...]
> > да уже общались на эту тему - пока безрезультатно.
>
> Во-во. Давите. Всё получится.

додавим, конечно, спасибо за поддержку
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach