-
следуя рекомендациям Зайцева, попробовал использовать утилиту [B]APS[/B]. Сканирую утилитой [B]nmap[/B]. На сканируемом компе винда хп про сп3, службы по умолчанию, кис 8.0.0.434, автоматический режим, отключена блокировка атакующего хоста, остальное по умолчанию. Другого защитного софта нет и не было. Сетевое подключение Проводная сеть (Ethernet), статус Публичная сеть. Работает утилита APS, в кис я поместил ее в доверенные. Результат сканирования Regular Scan (мак я скрыл):[CODE]Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-18 19:23 Финляндия (лето)
Initiating ARP Ping Scan at 19:23
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 19:23, 0.50s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:23
Completed Parallel DNS resolution of 1 host. at 19:23, 0.58s elapsed
Initiating SYN Stealth Scan at 19:23
Scanning 192.168.0.2 [1715 ports]
Discovered open port 21/tcp on 192.168.0.2
Discovered open port 443/tcp on 192.168.0.2
Discovered open port 23/tcp on 192.168.0.2
Discovered open port 80/tcp on 192.168.0.2
Discovered open port 22/tcp on 192.168.0.2
Discovered open port 25/tcp on 192.168.0.2
Discovered open port 53/tcp on 192.168.0.2
Discovered open port 1234/tcp on 192.168.0.2
Discovered open port 5400/tcp on 192.168.0.2
Discovered open port 6969/tcp on 192.168.0.2
Discovered open port 119/tcp on 192.168.0.2
Discovered open port 43188/tcp on 192.168.0.2
Discovered open port 1024/tcp on 192.168.0.2
Discovered open port 107/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 0 to 5 due to max_successful_tryno increase to 4
Discovered open port 5631/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 5 to 10 due to 11 out of 16 dropped probes since last increase.
Discovered open port 146/tcp on 192.168.0.2
Discovered open port 808/tcp on 192.168.0.2
Discovered open port 8000/tcp on 192.168.0.2
Discovered open port 6667/tcp on 192.168.0.2
Discovered open port 2041/tcp on 192.168.0.2
Discovered open port 50000/tcp on 192.168.0.2
Discovered open port 3128/tcp on 192.168.0.2
Discovered open port 109/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 20 to 40 due to max_successful_tryno increase to 6
Increasing send delay for 192.168.0.2 from 40 to 80 due to 11 out of 18 dropped probes since last increase.
Discovered open port 4444/tcp on 192.168.0.2
Discovered open port 3064/tcp on 192.168.0.2
Discovered open port 27374/tcp on 192.168.0.2
Discovered open port 31/tcp on 192.168.0.2
Discovered open port 911/tcp on 192.168.0.2
Discovered open port 1080/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 28.34% done; ETC: 19:24 (0:01:15 remaining)
Discovered open port 565/tcp on 192.168.0.2
Discovered open port 15/tcp on 192.168.0.2
Discovered open port 8080/tcp on 192.168.0.2
Discovered open port 110/tcp on 192.168.0.2
Discovered open port 17300/tcp on 192.168.0.2
Discovered open port 13/tcp on 192.168.0.2
Discovered open port 194/tcp on 192.168.0.2
Discovered open port 5001/tcp on 192.168.0.2
Discovered open port 1999/tcp on 192.168.0.2
Discovered open port 5000/tcp on 192.168.0.2
Discovered open port 81/tcp on 192.168.0.2
Discovered open port 1/tcp on 192.168.0.2
Discovered open port 515/tcp on 192.168.0.2
Discovered open port 6668/tcp on 192.168.0.2
Discovered open port 65301/tcp on 192.168.0.2
Discovered open port 5714/tcp on 192.168.0.2
Discovered open port 3306/tcp on 192.168.0.2
Discovered open port 540/tcp on 192.168.0.2
Discovered open port 6000/tcp on 192.168.0.2
Discovered open port 6670/tcp on 192.168.0.2
Discovered open port 143/tcp on 192.168.0.2
Discovered open port 777/tcp on 192.168.0.2
Discovered open port 1521/tcp on 192.168.0.2
Discovered open port 1025/tcp on 192.168.0.2
Discovered open port 2638/tcp on 192.168.0.2
Discovered open port 512/tcp on 192.168.0.2
Discovered open port 1434/tcp on 192.168.0.2
Discovered open port 5800/tcp on 192.168.0.2
Discovered open port 1433/tcp on 192.168.0.2
Discovered open port 17/tcp on 192.168.0.2
Discovered open port 19/tcp on 192.168.0.2
Discovered open port 12346/tcp on 192.168.0.2
Discovered open port 54320/tcp on 192.168.0.2
Discovered open port 2049/tcp on 192.168.0.2
Discovered open port 44334/tcp on 192.168.0.2
Discovered open port 1512/tcp on 192.168.0.2
Discovered open port 4899/tcp on 192.168.0.2
Discovered open port 513/tcp on 192.168.0.2
Discovered open port 8888/tcp on 192.168.0.2
Discovered open port 5632/tcp on 192.168.0.2
Discovered open port 1526/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 75.22% done; ETC: 19:25 (0:00:35 remaining)
Discovered open port 9/tcp on 192.168.0.2
Discovered open port 1494/tcp on 192.168.0.2
Discovered open port 12345/tcp on 192.168.0.2
Discovered open port 4333/tcp on 192.168.0.2
Discovered open port 31337/tcp on 192.168.0.2
Discovered open port 111/tcp on 192.168.0.2
Discovered open port 20/tcp on 192.168.0.2
Discovered open port 2000/tcp on 192.168.0.2
Discovered open port 6112/tcp on 192.168.0.2
Discovered open port 11/tcp on 192.168.0.2
Discovered open port 16959/tcp on 192.168.0.2
Discovered open port 7/tcp on 192.168.0.2
Discovered open port 6666/tcp on 192.168.0.2
Discovered open port 2600/tcp on 192.168.0.2
Discovered open port 2016/tcp on 192.168.0.2
Discovered open port 1001/tcp on 192.168.0.2
Discovered open port 514/tcp on 192.168.0.2
Discovered open port 1011/tcp on 192.168.0.2
Discovered open port 1012/tcp on 192.168.0.2
Discovered open port 79/tcp on 192.168.0.2
Discovered open port 555/tcp on 192.168.0.2
Completed SYN Stealth Scan at 19:25, 154.98s elapsed (1715 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 1617 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
7/tcp open echo
9/tcp open discard
11/tcp open systat
13/tcp open daytime
15/tcp open netstat
17/tcp open qotd
19/tcp open chargen
20/tcp open ftp-data
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
31/tcp open msg-auth
53/tcp open domain
79/tcp open finger
80/tcp open http
81/tcp open hosts2-ns
107/tcp open rtelnet
109/tcp open pop2
110/tcp open pop3
111/tcp open rpcbind
119/tcp open nntp
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
143/tcp open imap
146/tcp open iso-tp0
194/tcp open irc
443/tcp open https
445/tcp filtered microsoft-ds
512/tcp open exec
513/tcp open login
514/tcp open shell
515/tcp open printer
540/tcp open uucp
555/tcp open dsf
565/tcp open whoami
777/tcp open unknown
808/tcp open ccproxy-http
911/tcp open unknown
1001/tcp open unknown
1011/tcp open unknown
1012/tcp open unknown
1024/tcp open kdm
1025/tcp open NFS-or-IIS
1080/tcp open socks
1110/tcp filtered nfsd-status
1234/tcp open hotline
1433/tcp open ms-sql-s
1434/tcp open ms-sql-m
1494/tcp open citrix-ica
1512/tcp open wins
1521/tcp open oracle
1526/tcp open pdap-np
1999/tcp open tcp-id-port
2000/tcp open callbook
2016/tcp open bootserver
2041/tcp open interbase
2049/tcp open nfs
2600/tcp open zebrasrv
2638/tcp open sybase
3064/tcp open dnet-tstproxy
3128/tcp open squid-http
3306/tcp open mysql
3389/tcp filtered ms-term-serv
4333/tcp open msql
4444/tcp open krb524
4899/tcp open radmin
5000/tcp open upnp
5001/tcp open commplex-link
5400/tcp open pcduo-old
5631/tcp open pcanywheredata
5632/tcp open pcanywherestat
5714/tcp open prosharevideo
5800/tcp open vnc-http
6000/tcp open X11
6112/tcp open dtspc
6666/tcp open irc
6667/tcp open irc
6668/tcp open irc
6670/tcp open irc
6969/tcp open acmsoda
8000/tcp open http-alt
8080/tcp open http-proxy
8888/tcp open sun-answerbook
12345/tcp open netbus
12346/tcp open netbus
16959/tcp open subseven
17300/tcp open kuang2
27374/tcp open subseven
31337/tcp open Elite
43188/tcp open reachout
44334/tcp open tinyfw
50000/tcp open iiimsf
54320/tcp open bo2k
65301/tcp open pcanywhere
MAC Address: хх:хх:хх:хх:хх:хх (ххх)
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 156.532 seconds
Raw packets sent: 2032 (89.406KB) | Rcvd: 2933 (183.436KB)[/CODE]
-
Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить...
Paul
-
[QUOTE=p2u;256976]Это сканирование с ПУБЛИЧНОЙ сети?!?
Paul[/QUOTE]
да
[I](учиться никогда не поздно ;))[/I]
-
[quote=p2u;256976]Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить...
Paul[/quote]
Все просто :) "...[B]Работает утилита APS, в кис я поместил ее в доверенные[/B] ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS :) Собственно про это есть в FAQ - [url]http://www.z-oleg.com/secur/aps/faq.php[/url]
-
[QUOTE=Зайцев Олег;256983]Все просто :) "...[B]Работает утилита APS, в кис я поместил ее в доверенные[/B] ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS :)[/QUOTE]
Я это всё понимаю. Я APS очень люблю, честно, но Виндовских Служб НЕ люблю, а великая часть их тоже в доверенных. Это не есть хорошо, или я что-то не допонимаю?
Paul
-
[QUOTE=p2u;256984]великая часть их тоже в доверенных
Paul[/QUOTE]
все виндовые службы доверенные (по умолчанию кис)
-
[QUOTE=costashu;256988]все виндовые службы доверенные (по умолчанию кис)[/QUOTE]
Ой... Не увидел, что вы уже ответили на мой вопрос (что-то с таймингом форума). Но это же самоубийство на самом деле?
Paul
-
[QUOTE=p2u;256991]Это вы так сами задали, или это настройки по умолчанию в КИСе?
Paul[/QUOTE]
это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную
-
[QUOTE=costashu;256994]это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную[/QUOTE]
Вы не могли бы выложить SysInfo log сканируемой системы? Спасибо.
Paul
-
Вложений: 1
[QUOTE=p2u;256998]Вы не могли бы выложить SysInfo log сканируемой системы?
Paul[/QUOTE]
[ATTACH]62017[/ATTACH]
-
[QUOTE=costashu;257012][ATTACH]62017[/ATTACH][/QUOTE]
Thanks! Требуется некоторое время на анализ. Ждите ответа. Скорее завтра...
P.S.: Пока я не могу ничего другого сказать кроме: с таким компом я лично не вышел бы в сеть НИКОГДА. Разберёмся в чём дело...
P.S.: Возможно потребуется тоже трейсы для Лаба, но в них я не разбираюсь...
Paul
-
[QUOTE=p2u;257014]с таким компом я лично не вышел бы в сеть НИКОГДА
Paul[/QUOTE]
да и я не выхожу :) С таким ;)
Спасибо, буду ждать анализы :(
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 5 минут[/I][/B][/color][/size]
результат сканирования udp (условия аналогичны предыдущему, команда nmap -v -v -sU 192.168.0.2):[CODE]Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 08:50 Финляндия (лето)
Initiating ARP Ping Scan at 08:50
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 08:50, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 08:50
Completed Parallel DNS resolution of 1 host. at 08:50, 0.11s elapsed
Initiating UDP Scan at 08:50
Scanning 192.168.0.2 [1488 ports]
Completed UDP Scan at 08:50, 21.36s elapsed (1488 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 08:50:37 Финляндия (лето) for 22s
Interesting ports on 192.168.0.2:
Not shown: 1461 closed ports
PORT STATE SERVICE
19/udp open|filtered chargen
49/udp open|filtered tacacs
53/udp open|filtered domain
69/udp open|filtered tftp
123/udp open|filtered ntp
135/udp open|filtered msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn
161/udp open|filtered snmp
162/udp open|filtered snmptrap
445/udp open|filtered microsoft-ds
456/udp open|filtered macon
500/udp open|filtered isakmp
1025/udp open|filtered blackjack
1349/udp open|filtered sbook
1433/udp open|filtered ms-sql-s
1434/udp open|filtered ms-sql-m
1900/udp open|filtered upnp
2000/udp open|filtered callbook
3333/udp open|filtered dec-notes
3996/udp open|filtered remoteanything
4000/udp open|filtered icq
4500/udp open|filtered sae-urn
5632/udp open|filtered pcanywherestat
31337/udp open|filtered BackOrifice
54321/udp open|filtered bo2k
MAC Address: хх:хх:хх:хх:хх:хх (ххх)
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 22.266 seconds
Raw packets sent: 1843 (51.618KB) | Rcvd: 1462 (81.858KB)[/CODE]
-
[QUOTE=costashu;257015]да и я не выхожу :) С таким ;)
Спасибо, буду ждать анализы :([/quote]
Невооружённым глазом пока ещё не обнаружил никаких отклонений от нормы в вашем журнале SysInfo.
[QUOTE=costashu;257015]результат сканирования udp [SNIP}[/QUOTE]
Хочу вас попросить сделать интенсивный скан с nmap [b]БЕЗ APS[/b]. Причём, есть смысл делать такой скан по всем 65536 портам. Простите, это будет долго, но результаты такого скана того стоят - они покажут, насколько Windows сама себя ведёт как проститутка в вашей конфигурации.
Комманда для такого скана (елси не ошибаюсь, конечно - у меня nmap нет):
[code]nmap -T Aggressive -A -p0-65535 -v 192.168.0.2[/code]
Можно ещё так: тот же скан, но конкретно tcp connect - то есть:
[code]nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2[/code]
Или tcp SYN - там возможностей куча... Раз вы работаете с nmap, вы разберётесь, я так думаю...
Жду результатов.
Paul
-
[QUOTE=p2u;257070]Жду результатов.
Paul[/QUOTE]
вот (без APS, команда nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2, то есть соединения по всем портам tcp, строку с маком буду опускать):[CODE]Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 09:24 Финляндия (лето)
Initiating ARP Ping Scan at 09:24
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 09:24, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 09:24
Completed Parallel DNS resolution of 1 host. at 09:24, 0.58s elapsed
Initiating Connect Scan at 09:24
Scanning 192.168.0.2 [65536 ports]
Discovered open port 21/tcp on 192.168.0.2
Connect Scan Timing: About 1.02% done; ETC: 10:14 (0:48:49 remaining)
Completed Connect Scan at 10:12, 2868.45s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 65535 filtered ports
PORT STATE SERVICE
21/tcp open ftp
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 2870.062 seconds
Raw packets sent: 1 (42B) | Rcvd: 1 (42B)[/CODE]сделать по всем udp?
-
[QUOTE=costashu;257090] 21/tcp open ftp[/QUOTE]
Это следовало бы ожидать - открыт порт 21 TCP. Это результат новой фичы в КИС. Где-то уже обсуждалось.
UDP ОБЯЗАТЕЛЬНО, так как гораздо труднее для любого файрвола...
Paul
-
[QUOTE=p2u;256991]Но это же самоубийство на самом деле?
Paul[/QUOTE]
Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.
Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.
-
[QUOTE=DVi;257101]Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.
Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.[/QUOTE]
:)
Здравствуйте, [b]DVi[/b]!
Я переживаю за домохозяек и блондинок, для которых продукт c такими настройками по умолчанию был создан, и которые НЕ знают, как отключить то или другое. И, одновременно, я тоже переживаю за доброе имя продукта. :)
P.S.: Мне сейчас на работу - вернусь не скоро...
Paul
-
p2u, все эти службы Windows были созданы "для домохозяек и блондинок", именно их наличие обеспечило популярность операционных систем компании Microsoft. Их отключение приведет к коллапсу - домохозяйки и блондинки просто не смогут пользоваться компьютером без дополнительного обучения.
-
[QUOTE=p2u;257094]UDP ОБЯЗАТЕЛЬНО
Paul[/QUOTE]
вот (команда nmap -v -v -v -p0-65535 -T Aggressive -sU 192.168.0.2):[CODE]Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 12:47 Финляндия (лето)
Initiating ARP Ping Scan at 12:47
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 12:47, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:47
Completed Parallel DNS resolution of 1 host. at 12:47, 0.16s elapsed
DNS resolution of 1 IPs took 0.17s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 12:47
Scanning 192.168.0.2 [65536 ports]
Increasing send delay for 192.168.0.2 from 0 to 50 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 50 to 100 due to max_successful_tryno increase to 6
UDP Scan Timing: About 2.72% done; ETC: 13:06 (0:17:55 remaining)
Warning: Giving up on port early because retransmission cap hit.
UDP Scan Timing: About 17.74% done; ETC: 14:31 (1:25:34 remaining)
UDP Scan Timing: About 89.14% done; ETC: 14:44 (0:12:40 remaining)
Completed UDP Scan at 14:45, 7033.81s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 12:47:46 Финляндия (лето) for 7035s
Interesting ports on 192.168.0.2:
Not shown: 65527 closed ports
PORT STATE SERVICE
123/udp open|filtered ntp
135/udp open|filtered msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1900/udp open|filtered upnp
4500/udp open|filtered sae-urn
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 7035.016 seconds
Raw packets sent: 66145 (1.852MB) | Rcvd: 65567 (3.672MB)[/CODE]
-
Page generated in 0.01456 seconds with 10 queries