Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | |
сенксы 22.10.03 13:58 Число просмотров: 1306
Автор: Deviator <n/a> Статус: Member
|
[...]
> 255.255.255.255 - это ограниченная широковещательная > рассылка, т.е. всем (во все сети, всем хостам). > > Широковещательная рассылка - это рассылка всем хостам > ТОЛЬКО ВАШЕЙ СЕТИ.
сенкс, буду знать
[...]
> > да уже общались на эту тему - пока безрезультатно. > > Во-во. Давите. Всё получится.
додавим, конечно, спасибо за поддержку
|
<sysadmin>
|
520/UDP - атака или небрежность в настройках? 20.10.03 07:27
Автор: Deviator <n/a> Статус: Member
|
Господа, подскажите, есть ли распространённый способ атаки по указанному порту (порт закрыт) и может ли это быть причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На внешний интерфейс с двух адресов сыплются широковещательные пакеты с частотой 31 сек. У прова подключены через хаб. Может я каку важную инфу пропустил? Подскажите, плиз.
|
|
А rip у нас по какому порту работает? 21.10.03 21:40
Автор: StR <Стас> Статус: Elderman
|
> Господа, подскажите, есть ли распространённый способ атаки > по указанному порту (порт закрыт) и может ли это быть > причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На > внешний интерфейс с двух адресов сыплются широковещательные > пакеты с частотой 31 сек. У прова подключены через хаб. Как раз через 30 сек идут обновления маршрутов...
|
| |
А rip у нас по какому порту работает? 22.10.03 08:10
Автор: Deviator <n/a> Статус: Member
|
[...]
> Как раз через 30 сек идут обновления маршрутов...
удивила синхронность начала этого процесса, причём, посыпались эти пакеты только с 2-х адресов (в прововский хаб воткнуто больше). да и не ожидал я, что RIP сыплет каждые 31 сек. пакеты по адресу 255.255.255.255, как то неправильно это выглядит.
придётся ещё в доках покопаться
спасибо
|
|
520/UDP - может отлаживается кто? 21.10.03 16:15
Автор: jammer <alex naumov> Статус: Elderman
|
> Господа, подскажите, есть ли распространённый способ атаки > по указанному порту (порт закрыт) и может ли это быть
об этом ничего не знаю.
> причиной самопроизвольной остановки IIS 5 + MS Proxy 2? На
как, если закрыт? :)
> внешний интерфейс с двух адресов сыплются широковещательные
если широковещательные, врядли это атака. или атака от соседей?
efs 520/tcp extended file name server
router 520/udp local routing process (on site);
# uses variant of Xerox NS routing
# information protocol - RIP
IANA port numbers
|
| |
каждые 31 сек., круглые сутки, несколько недель с разных IP 21.10.03 16:47
Автор: Deviator <n/a> Статус: Member Отредактировано 21.10.03 16:51 Количество правок: 1
|
[...]
что то слабо верится в отладку.
> > причиной самопроизвольной остановки IIS 5 + MS Proxy > 2? На > > как, если закрыт? :)
а Х его знает, например, может долбёжка по 520-ому это уже следствие, а основную атаку я проворонил - пару раз указанная связка вставала без объяснения причин, после перезапуска через терминал, работает, как ни в чём небывало. на вирусы проверял, на червей то-ж...
> > внешний интерфейс с двух адресов сыплются > широковещательные > > если широковещательные, врядли это атака. или атака от > соседей?
сыплется с адресов других клиентов нашего прова, а до их админов пров достучаться не может (мож их и нет вовсе)
[...]
> router 520/udp local routing process (on site); > # uses variant of Xerox NS routing > # information protocol - RIP
это я сразу посмотрел, как оно посыпалось, только не знаю, кто и как может данный порт юзать штатно и можно ли через него нагадить соседу? мож кто знает.
|
| | |
Не надо волноваться 22.10.03 00:51
Автор: void <Grebnev Valery> Статус: Elderman
|
Читал топик бегло. Могу ошибаться. Может и не въехал в суть вопроса.
На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме того, что Вы имеете или криворукого провайдера, или жадного провайдера.
Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к. если я окажусь прав, то назвать Вашего провайдра провайдером можно с трудом) включает Ваш "внешний" интерфейс и интерфейсы других своих клиентов в хаб или аналогичное устройство с общей шиной. Один из портов этого устройства смотрит в один единственный свободный порт маршрутизатора провайдера. Такое "подключение" провайдеры используют тогда, когда не имеют требуемого кол.ва свободных портов на маршрутизаторе, и не знают как, или не могут по своей недалёкости это сделать. (нарезаются порты - известно как - при помощи создания виланов).
В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной рассылки (а не широковещательные вообще, как Вы пишете) будут достигать Вашего "внешнего" интерфейса. Никакой атаки, кроме криворукости системщиков провайдеров в этом случае нет.
ПС. Если верно, что я говорю, то Вам надо побеседовать с руководством провайдера, и попросить "выделить" Вам отдельный порт на маршрутизаторе провайдера. Как это будет реализовано - вам выделят физически независимый порт на киске для монопольного использования, или это будет порт вилана - дело десятое.
|
| | | |
хорошо - не буду :-) 22.10.03 08:21
Автор: Deviator <n/a> Статус: Member
|
> Читал топик бегло. Могу ошибаться. Может и не въехал в > суть вопроса. > > На мой взгляд, у ВАС НИЧЕГО ПЛОХОГО НЕ ПРОИСХОДИТ, кроме > того, что Вы имеете или криворукого провайдера, или жадного > провайдера. > > Скорее всего Ваш "провайдер" (пишу заранее в кавычках, т.к. > если я окажусь прав, то назвать Вашего провайдра > провайдером можно с трудом) включает Ваш "внешний" > интерфейс и интерфейсы других своих клиентов в хаб или > аналогичное устройство с общей шиной. Один из портов этого > устройства смотрит в один единственный свободный порт > маршрутизатора провайдера.
именно так - клиенты к хабам, хабы в свичи, свичи - каскадом
> Такое "подключение" провайдеры > используют тогда, когда не имеют требуемого кол.ва > свободных портов на маршрутизаторе, и не знают как, или не > могут по своей недалёкости это сделать. (нарезаются порты - > известно как - при помощи создания виланов). > > В такой ситуации пакеты ОГРАНИЧЕНОЙ широковещательной > рассылки (а не широковещательные вообще, как Вы пишете)
понятно, что ограничение всё равно произойдёт (например, первый-же шлюз с фильтрацией), но изначально, адрес 255.255.255.255 ограничений не предполагает - или я ошибаюсь?
> будут достигать Вашего "внешнего" интерфейса. Никакой > атаки, кроме криворукости системщиков провайдеров в этом > случае нет.
это радует, относительно, конечно, но радует
> ПС. Если верно, что я говорю, то Вам надо побеседовать с > руководством провайдера, и попросить "выделить" Вам > отдельный порт на маршрутизаторе провайдера. Как это будет > реализовано - вам выделят физически независимый порт на > киске для монопольного использования, или это будет порт > вилана - дело десятое.
да уже общались на эту тему - пока безрезультатно.
спасибо
(ещё раз спасибо всем откликнувшимся)
|
| | | | |
Про ограниченную 22.10.03 13:27
Автор: void <Grebnev Valery> Статус: Elderman
|
> именно так - клиенты к хабам, хабы в свичи, свичи - > каскадом
Так делают перекупщики интернета, которые называют себя гордо субпровайдерами в %опинск-Урюпинске, с котором я живу.
Да известное дело.
> понятно, что ограничение всё равно произойдёт (например, > первый-же шлюз с фильтрацией), но изначально, адрес > 255.255.255.255 ограничений не предполагает - или я > ошибаюсь?
Немного ошибаетесь. В терминологии.
Не очень понятно почему, но принята такая терминология:
255.255.255.255 - это ограниченная широковещательная рассылка, т.е. всем (во все сети, всем хостам).
Широковещательная рассылка - это рассылка всем хостам ТОЛЬКО ВАШЕЙ СЕТИ.
> > это радует, относительно, конечно, но радует >
В принципе им предъявить можно. Неоправданный технический трафик и т.д. Раз они такое, как у Вас делают, то и в этом случае недошурупят.
Так, что давите на их начальство. Технически - проблемы не существует.
> да уже общались на эту тему - пока безрезультатно.
Во-во. Давите. Всё получится.
|
| | | | | |
сенксы 22.10.03 13:58
Автор: Deviator <n/a> Статус: Member
|
[...]
> 255.255.255.255 - это ограниченная широковещательная > рассылка, т.е. всем (во все сети, всем хостам). > > Широковещательная рассылка - это рассылка всем хостам > ТОЛЬКО ВАШЕЙ СЕТИ.
сенкс, буду знать
[...]
> > да уже общались на эту тему - пока безрезультатно. > > Во-во. Давите. Всё получится.
додавим, конечно, спасибо за поддержку
|
|
|