информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Бэкдор в xz/liblzma, предназначенный...   Три миллиона электронных замков...   Doom на газонокосилках
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / sysadmin		Имя Пароль

ФОРУМ если вы видите этот текст, отключите в настройках форума использование JavaScript регистрация Легенда:   новое сообщение   закрытая нитка   новое сообщение   в закрытой нитке   старое сообщение	Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания. Новичкам также крайне полезно ознакомиться с данным документом. Логично. Уж больно странные порты. 13.02.09 21:15  Число просмотров: 3202 Автор: OlegY <Oleg Yurchenko> Статус: Registered <"чистая" ссылка> <sysadmin> Сканирование портов 13.02.09 19:21   Автор: OlegY <Oleg Yurchenko> Статус: Registered <"чистая" ссылка> Может кто то сталкивался. В нашей конторской сети порядка 30 РС под виндой, есть сервер с linux (CentOS 5.1 : apache, sendmail, squid, samba и т.п.) , который одной сетевой платой смотрит в инет. Большинство пользователей ходят в инет через squid, несколько машин могут ходить в инет через NAT. Проблема: Второй раз за два дня пользователь у которого стоит outpost firewall видит в логах строки типа: 16:54:47 192.168.1.13 Узел заблокирован на 5 мин. SCAN (28934, 32006, 31494, 30982, 29958, 29702, 30726) Где 192.168.1.13 - внутренний адрес сервера. Что это может быт ? В логах сервера ничего подозрительного не замечаю Как вариант. 13.02.09 20:06   Автор: J'JF <Dmytro Volhushyn> Статус: Elderman <"чистая" ссылка> > Проблема: > Второй раз за два дня пользователь у которого стоит outpost > firewall видит в логах строки типа: > 16:54:47 192.168.1.13 Узел заблокирован на 5 мин. > SCAN (28934, 32006, 31494, 30982, 29958, 29702, 30726) > Где 192.168.1.13 - внутренний адрес сервера. > > Что это может быт ? > В логах сервера ничего подозрительного не замечаю Возможный сценарий таков: Пользователь ходит через сквид и открывает какую-то веб-страничку. По мере рендеринга кода странички запускаются несколько соединений, чтобы параллельно вытянуть несколько графических элементов. Естественно, порты при этом открываются на клиенте разные (все те же 28934, 32006, 31494, 30982, 29958, 29702, 30726, например). В какой-то момент эти соединения закрываются, а еще через некоторое время на те порты, с которых соединения устанавливались, приходят пакеты, которые уже не нужны. Почему - отдельный вопрос. То ли это дубликаты, то ли аутпост просто что-то не так отрабатывает - в любом случае он опознает это как сканирование портов, причем, адресом источника как раз и будет адрес интерфейса сквида. Выход просто - вырубить к чертовой бабушке детектор атак в Аутпосте - как показывает практика, в DMZ этот модуль не только неактуален, но и вреден. Я так всегда и делаю :) Логично. Уж больно странные порты. 13.02.09 21:15   Автор: OlegY <Oleg Yurchenko> Статус: Registered <"чистая" ссылка> 1

Copyright © 2001-2024 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach