Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
каждые 31 сек., круглые сутки, несколько недель с разных IP 21.10.03 16:47 Число просмотров: 1269
Автор: Deviator <n/a> Статус: Member
Отредактировано 21.10.03 16:51 Количество правок: 1
|
[...]
что то слабо верится в отладку.
> > причиной самопроизвольной остановки IIS 5 + MS Proxy
> 2? На
>
> как, если закрыт? :)
а Х его знает, например, может долбёжка по 520-ому это уже следствие, а основную атаку я проворонил - пару раз указанная связка вставала без объяснения причин, после перезапуска через терминал, работает, как ни в чём небывало. на вирусы проверял, на червей то-ж...
> > внешний интерфейс с двух адресов сыплются
> широковещательные
>
> если широковещательные, врядли это атака. или атака от
> соседей?
сыплется с адресов других клиентов нашего прова, а до их админов пров достучаться не может (мож их и нет вовсе)
[...]
> router 520/udp local routing process (on site);
> # uses variant of Xerox NS routing
> # information protocol - RIP
это я сразу посмотрел, как оно посыпалось, только не знаю, кто и как может данный порт юзать штатно и можно ли через него нагадить соседу? мож кто знает.
|
|
<sysadmin>
|
520/UDP - атака или небрежность в настройках? 20.10.03 07:27
Автор: Deviator <n/a> Статус: Member
|
|
Господа, подскажите, есть ли распространённый способ атаки по указанному порту (порт закрыт) и может ли это быть причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На внешний интерфейс с двух адресов сыплются широковещательные пакеты с частотой 31 сек. У прова подключены через хаб. Может я каку важную инфу пропустил? Подскажите, плиз.
|
|
А rip у нас по какому порту работает? 21.10.03 21:40
Автор: StR <Стас> Статус: Elderman
|
> Господа, подскажите, есть ли распространённый способ атаки
> по указанному порту (порт закрыт) и может ли это быть
> причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На
> внешний интерфейс с двух адресов сыплются широковещательные
> пакеты с частотой 31 сек. У прова подключены через хаб.
Как раз через 30 сек идут обновления маршрутов...
|
| |
А rip у нас по какому порту работает? 22.10.03 08:10
Автор: Deviator <n/a> Статус: Member
|
[...]
> Как раз через 30 сек идут обновления маршрутов...
удивила синхронность начала этого процесса, причём, посыпались эти пакеты только с 2-х адресов (в прововский хаб воткнуто больше). да и не ожидал я, что RIP сыплет каждые 31 сек. пакеты по адресу 255.255.255.255, как то неправильно это выглядит.
придётся ещё в доках покопаться
спасибо
|
|
520/UDP - может отлаживается кто? 21.10.03 16:15
Автор: jammer <alex naumov> Статус: Elderman
|
> Господа, подскажите, есть ли распространённый способ атаки
> по указанному порту (порт закрыт) и может ли это быть
об этом ничего не знаю.
> причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На
как, если закрыт? :)
> внешний интерфейс с двух адресов сыплются широковещательные
если широковещательные, врядли это атака. или атака от соседей?
efs 520/tcp extended file name server
router 520/udp local routing process (on site);
# uses variant of Xerox NS routing
# information protocol - RIP
IANA port numbers
|
| |
каждые 31 сек., круглые сутки, несколько недель с разных IP 21.10.03 16:47
Автор: Deviator <n/a> Статус: Member
Отредактировано 21.10.03 16:51 Количество правок: 1
|
[...]
что то слабо верится в отладку.
> > причиной самопроизвольной остановки IIS 5 + MS Proxy
> 2? На
>
> как, если закрыт? :)
а Х его знает, например, может долбёжка по 520-ому это уже следствие, а основную атаку я проворонил - пару раз указанная связка вставала без объяснения причин, после перезапуска через терминал, работает, как ни в чём небывало. на вирусы проверял, на червей то-ж...
> > внешний интерфейс с двух адресов сыплются
> широковещательные
>
> если широковещательные, врядли это атака. или атака от
> соседей?
сыплется с адресов других клиентов нашего прова, а до их админов пров достучаться не может (мож их и нет вовсе)
[...]
> router 520/udp local routing process (on site);
> # uses variant of Xerox NS routing
> # information protocol - RIP
это я сразу посмотрел, как оно посыпалось, только не знаю, кто и как может данный порт юзать штатно и можно ли через него нагадить соседу? мож кто знает.
|
| | |
Не надо волноваться 22.10.03 00:51
Автор: void <Grebnev Valery> Статус: Elderman
|
Читал топик бегло. Могу ошибаться. Может и не въехал в суть вопроса.
На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме того, что Вы имеете или криворукого провайдера, или жадного провайдера.
Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к. если я окажусь прав, то назвать Вашего провайдра провайдером можно с трудом) включает Ваш "внешний" интерфейс и интерфейсы других своих клиентов в хаб или аналогичное устройство с общей шиной. Один из портов этого устройства смотрит в один единственный свободный порт маршрутизатора провайдера. Такое "подключение" провайдеры используют тогда, когда не имеют требуемого кол.ва свободных портов на маршрутизаторе, и не знают как, или не могут по своей недалёкости это сделать. (нарезаются порты - известно как - при помощи создания виланов).
В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной рассылки (а не широковещательные вообще, как Вы пишете) будут достигать Вашего "внешнего" интерфейса. Никакой атаки, кроме криворукости системщиков провайдеров в этом случае нет.
ПС. Если верно, что я говорю, то Вам надо побеседовать с руководством провайдера, и попросить "выделить" Вам отдельный порт на маршрутизаторе провайдера. Как это будет реализовано - вам выделят физически независимый порт на киске для монопольного использования, или это будет порт вилана - дело десятое.
|
| | | |
хорошо - не буду :-) 22.10.03 08:21
Автор: Deviator <n/a> Статус: Member
|
> Читал топик бегло. Могу ошибаться. Может и не въехал в
> суть вопроса.
>
> На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме
> того, что Вы имеете или криворукого провайдера, или жадного
> провайдера.
>
> Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к.
> если я окажусь прав, то назвать Вашего провайдра
> провайдером можно с трудом) включает Ваш "внешний"
> интерфейс и интерфейсы других своих клиентов в хаб или
> аналогичное устройство с общей шиной. Один из портов этого
> устройства смотрит в один единственный свободный порт
> маршрутизатора провайдера.
именно так - клиенты к хабам, хабы в свичи, свичи - каскадом
> Такое "подключение" провайдеры
> используют тогда, когда не имеют требуемого кол.ва
> свободных портов на маршрутизаторе, и не знают как, или не
> могут по своей недалёкости это сделать. (нарезаются порты -
> известно как - при помощи создания виланов).
>
> В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной
> рассылки (а не широковещательные вообще, как Вы пишете)
понятно, что ограничение всё равно произойдёт (например, первый-же шлюз с фильтрацией), но изначально, адрес 255.255.255.255 ограничений не предполагает - или я ошибаюсь?
> будут достигать Вашего "внешнего" интерфейса. Никакой
> атаки, кроме криворукости системщиков провайдеров в этом
> случае нет.
это радует, относительно, конечно, но радует
> ПС. Если верно, что я говорю, то Вам надо побеседовать с
> руководством провайдера, и попросить "выделить" Вам
> отдельный порт на маршрутизаторе провайдера. Как это будет
> реализовано - вам выделят физически независимый порт на
> киске для монопольного использования, или это будет порт
> вилана - дело десятое.
да уже общались на эту тему - пока безрезультатно.
спасибо
(ещё раз спасибо всем откликнувшимся)
|
| | | | |
Про ограниченную 22.10.03 13:27
Автор: void <Grebnev Valery> Статус: Elderman
|
> именно так - клиенты к хабам, хабы в свичи, свичи -
> каскадом
Так делают перекупщики интернета, которые называют себя гордо субпровайдерами в %опинск-Урюпинске, с котором я живу.
Да известное дело.
> понятно, что ограничение всё равно произойдёт (например,
> первый-же шлюз с фильтрацией), но изначально, адрес
> 255.255.255.255 ограничений не предполагает - или я
> ошибаюсь?
Немного ошибаетесь. В терминологии.
Не очень понятно почему, но принята такая терминология:
255.255.255.255 - это ограниченная широковещательная рассылка, т.е. всем (во все сети, всем хостам).
Широковещательная рассылка - это рассылка всем хостам ТОЛЬКО ВАШЕЙ СЕТИ.
>
> это радует, относительно, конечно, но радует
>
В принципе им предъявить можно. Неоправданный технический трафик и т.д. Раз они такое, как у Вас делают, то и в этом случае недошурупят.
Так, что давите на их начальство. Технически - проблемы не существует.
> да уже общались на эту тему - пока безрезультатно.
Во-во. Давите. Всё получится.
|
| | | | | |
сенксы 22.10.03 13:58
Автор: Deviator <n/a> Статус: Member
|
[...]
> 255.255.255.255 - это ограниченная широковещательная
> рассылка, т.е. всем (во все сети, всем хостам).
>
> Широковещательная рассылка - это рассылка всем хостам
> ТОЛЬКО ВАШЕЙ СЕТИ.
сенкс, буду знать
[...]
> > да уже общались на эту тему - пока безрезультатно.
>
> Во-во. Давите. Всё получится.
додавим, конечно, спасибо за поддержку
|
|
|
подробно о проекте
Анализ криптографических сетевых...
