Что-то я не понял. Сейчас посмотрел в КИС8. По умолчанию в стенке доступ к локальным сервисам блокируется. У меня просто раутер и один комп, так что не могу проверить. Это правило что, не работает?
Printable View
Что-то я не понял. Сейчас посмотрел в КИС8. По умолчанию в стенке доступ к локальным сервисам блокируется. У меня просто раутер и один комп, так что не могу проверить. Это правило что, не работает?
[QUOTE=Geser;257207]Это правило что, не работает?[/QUOTE]
если я посканирую запрещенные правилами протоколы:порты с запущенным на сканируемом компе wireshark, вас устроят результаты такого наблюдения? Попробую сделать это завтра
запустил APS (с несколькими добавленными мной портами для наблюдения) на подключенном к инет компе (подключение Модемное соединение, Публичная сеть) и отключил фаервол в установленном на нем тМитере. Насткойки кис по умолчанию (кроме отключенной блокировки атакующих хостов), автоматический режим. За приблизительно 2.5 часа вышло вот что:[CODE]Статистика сканирования портов. Статистика сгененирована 19.07.08 17:56:30
Утилита APS, Зайцев О.В.,2004, версия 1.90 от 30.08.2004, http://z-oleg.com/secur/aps.htm
Атакующий хост: 125.211.198.11 125.211.198.11
дата/время начала сканирования: 19.07.08 15:29:04
дата/время последнего сканирования: 19.07.08 16:39:04
кол-во сканирований: 2
кол-во подозрений на DoS: 0
Атаковано портов 2
1026/UDP кол-во атак = 1, подозрений DoS = 0
1027/UDP кол-во атак = 1, подозрений DoS = 0
Экспресс-оценка:
Сканирование портов : не обнаружено
Flood портов : не обнаружен
DoS атаки : не обнаружены
-----------------------------------------
Атакующий хост: 60.222.224.133 60.222.224.133
дата/время начала сканирования: 19.07.08 15:40:01
дата/время последнего сканирования: 19.07.08 15:40:01
кол-во сканирований: 1
кол-во подозрений на DoS: 0
Атаковано портов 1
1026/UDP кол-во атак = 1, подозрений DoS = 0
Экспресс-оценка:
Сканирование портов : не обнаружено
Flood портов : не обнаружен
DoS атаки : не обнаружены
-----------------------------------------
Атакующий хост: 77.52.247.131 MZ32LB4PB4QSY4G
дата/время начала сканирования: 19.07.08 16:32:28
дата/время последнего сканирования: 19.07.08 17:55:00
кол-во сканирований: 828
кол-во подозрений на DoS: 0
Атаковано портов 1
1433/TCP кол-во атак = 828, подозрений DoS = 0 (подозрение на flood)
Экспресс-оценка:
Сканирование портов : не обнаружено
Flood портов : обнаружен
DoS атаки : не обнаружены
-----------------------------------------
Атакующий хост: 77.52.231.175 YOUR-JNRI2I3J13
дата/время начала сканирования: 19.07.08 16:43:05
дата/время последнего сканирования: 19.07.08 16:53:33
кол-во сканирований: 188
кол-во подозрений на DoS: 0
Атаковано портов 1
1433/TCP кол-во атак = 188, подозрений DoS = 0 (подозрение на flood)
Экспресс-оценка:
Сканирование портов : не обнаружено
Flood портов : обнаружен
DoS атаки : не обнаружены
-----------------------------------------
Атакующий хост: 77.52.232.71 YOUR-JNRI2I3J13
дата/время начала сканирования: 19.07.08 17:27:39
дата/время последнего сканирования: 19.07.08 17:55:23
кол-во сканирований: 1026
кол-во подозрений на DoS: 0
Атаковано портов 1
1433/TCP кол-во атак = 1026, подозрений DoS = 0 (подозрение на flood)
Экспресс-оценка:
Сканирование портов : не обнаружено
Flood портов : обнаружен
DoS атаки : не обнаружены
-----------------------------------------[/CODE]здесь все логи (6 кб) - [ATTACH]62128[/ATTACH]
Решил побаловаться нмапом и я. Взял вмварь, поставил туда ХР СП3 и кучку апдейтов. Поставил КИС2009. Настройки не менял (единственное - отключил блокировку атакера). Никакие нетбиосы не отключал, ИП 192.168.0.25 - режим "публичная сеть"
[CODE]nmap -v -v -v -sT Agressive -PA -PS -P0 -p1-65535 -r -sV -O --osscan-guess 192.168.0.25
Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 21:20 EEST
Failed to resolve given hostname/IP: Agressive. Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 21:20
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 21:20, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 21:20
Completed Parallel DNS resolution of 1 host. at 21:20, 0.02s elapsed
DNS resolution of 1 IPs took 0.02s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating Connect Scan at 21:20
Scanning 192.168.0.25 [65535 ports]
Increasing send delay for 192.168.0.25 from 0 to 5 due to 27 out of 88 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 5 to 10 due to max_successful_tryno increase to 4
Increasing send delay for 192.168.0.25 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.25 from 20 to 40 due to max_successful_tryno increase to 6
Connect Scan Timing: About 2.22% done; ETC: 21:42 (0:22:05 remaining)
Increasing send delay for 192.168.0.25 from 40 to 80 due to max_successful_tryno increase to 7
Connect Scan Timing: About 34.27% done; ETC: 22:26 (0:43:24 remaining)
Connect Scan Timing: About 83.90% done; ETC: 22:38 (0:12:40 remaining)
Increasing send delay for 192.168.0.25 from 80 to 160 due to max_successful_tryno increase to 8
Connect Scan Timing: About 93.37% done; ETC: 22:44 (0:05:35 remaining)
Connect Scan Timing: About 96.58% done; ETC: 22:47 (0:02:59 remaining)
Connect Scan Timing: About 98.31% done; ETC: 22:49 (0:01:29 remaining)
Connect Scan Timing: About 99.18% done; ETC: 22:49 (0:00:44 remaining)
Completed Connect Scan at 22:50, 5436.82s elapsed (65535 total ports)
Initiating Service scan at 22:50
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 65527 closed ports
PORT STATE SERVICE VERSION
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1110/tcp filtered nfsd-status
3389/tcp filtered ms-term-serv
19780/tcp filtered unknown
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=1%CU=37769%PV=Y%DS=1%G=N%M=000C29%TM=48824594%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop
Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5438.068 seconds
Raw packets sent: 13 (1854B) | Rcvd: 5 (338B)
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Просто быстрый скан, с параметром -sX
[CODE]nmap -v -v -v -sX Agressive -PA -PS -P0 -r -sV -O --osscan-guess 192.168.0.25
Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 22:56 EEST
Failed to resolve given hostname/IP: Agressive. Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 22:56
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 22:56, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:56
Completed Parallel DNS resolution of 1 host. at 22:56, 0.09s elapsed
DNS resolution of 1 IPs took 0.09s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating XMAS Scan at 22:56
Scanning 192.168.0.25 [1715 ports]
Completed XMAS Scan at 22:56, 5.75s elapsed (1715 total ports)
Initiating Service scan at 22:56
Scanning 7 services on 192.168.0.25
Completed Service scan at 22:56, 5.00s elapsed (7 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 1708 closed ports
PORT STATE SERVICE VERSION
135/tcp open|filtered msrpc
137/tcp open|filtered netbios-ns
138/tcp open|filtered netbios-dgm
139/tcp open|filtered netbios-ssn
445/tcp open|filtered microsoft-ds
1110/tcp open|filtered nfsd-status
3389/tcp open|filtered ms-term-serv
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=1%CU=42982%PV=Y%DS=1%G=N%M=000C29%TM=488246F9%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop
Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.550 seconds
Raw packets sent: 1793 (73.054KB) | Rcvd: 1798 (72.058KB)[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 час 3 минуты[/I][/B][/color][/size]
И быренький скан по UDP
Завтра, если не поленюсь, сделаю полный
[code]nmap -v -v -v -sU Agressive -PU -P0 -r -sV -O --osscan-guess 192.168.0.25
Starting Nmap 4.60 ( [url]http://nmap.org[/url] ) at 2008-07-19 23:53 EEST
Failed to resolve given hostname/IP: Agressive. Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 23:53
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 23:53, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 23:53
Completed Parallel DNS resolution of 1 host. at 23:53, 0.02s elapsed
DNS resolution of 1 IPs took 0.02s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 23:53
Scanning 192.168.0.25 [1488 ports]
Increasing send delay for 192.168.0.25 from 0 to 50 due to 13 out of 41 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 50 to 100 due to 11 out of 28 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 100 to 200 due to 11 out of 16 dropped probes since last increase.
UDP Scan Timing: About 12.72% done; ETC: 23:57 (0:03:26 remaining)
Stats: 0:03:52 elapsed; 0 hosts completed (1 up), 1 undergoing UDP Scan
UDP Scan Timing: About 79.23% done; ETC: 23:58 (0:01:00 remaining)
Completed UDP Scan at 23:58, 302.34s elapsed (1488 total ports)
Initiating Service scan at 23:58
Scanning 9 services on 192.168.0.25
Discovered open port 123/udp on 192.168.0.25
Discovered open|filtered port 123/udp on 192.168.0.25 is actually open
Service scan Timing: About 22.22% done; ETC: 00:01 (0:02:55 remaining)
Completed Service scan at 23:59, 50.01s elapsed (9 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 1479 closed ports
PORT STATE SERVICE VERSION
123/udp open ntp Microsoft NTP
135/udp open|filtered msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1900/udp open|filtered UPnP
4500/udp open|filtered sae-urn
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=%CU=1%PV=Y%DS=1%G=N%M=000C29%TM=48825597%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop
Service Info: OS: Windows
Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at [url]http://nmap.org/submit/[/url] .
Nmap done: 1 IP address (1 host up) scanned in 353.480 seconds
Raw packets sent: 1677 (48.446KB) | Rcvd: 1484 (83.162KB)[/code]
Спасибо всем. Для сравнения результатов, однако, хотелось бы видить заранее определённую, единую методику, иначе всё путается. Я предлагаю (для тех, которые имеют такую возможность, конечно, работать не под VM, а на физических компах - результат будет другим. Объяснить этого не могу.
Далее как описано [url=http://www.void.ru/content/736]здесь[/url] под 'Утилиты аудита'. Естественно, APS как 'доверенную программу' применять не надо.
P.S.: Сам я участвовать не могу - нет второго комьютера у меня. Мы пытались с локальной сети Corbina сканировать меня, но моего хоста нет ('down' говорит nmap) - полагаю, что это результат моих настроек (я даже маску подсети изменил), потому что я не был 'down'.
Даже изнутри доступа никуда (см. картинку LanSpy, сделана под админ):
[URL=http://www.radikal.ru][IMG]http://s45.radikal.ru/i107/0807/0e/07b742216334.jpg[/IMG][/URL]
Paul
[QUOTE=p2u;257323]Спасибо всем. Для сравнения результатов, однако, хотелось бы видить заранее определённую, единую методику
Paul[/QUOTE]
Смотря что мы хотим в итоге получить. ИМХО, самая простая методика - берём чистую систему (+ апдейты), никаких служб не отключаем, ничего кроме КИС2009 не ставим, КИС дополнительно не настраиваем, всё по дефолту. ИМХО, это самая распространённая ситуация, как тут любят говорить - ПК "домохозяйки" :) Потом берём nmap и натравливаем его на эту машину. У nmap куча параметров. Что касается моих результатов полученный под ВМ, то поясню некоторые детали: сетевой интерфейс ВМ находился в режие bridged
[QUOTE][B]Bridged[/B] — If your host computer is on an Ethernet network, this is often the easiest way to give your virtual machine access to that network. With bridged networking, the virtual machine appears as an additional computer on the same physical Ethernet network as the host. A virtual machine with bridged networking can transparently use any of the services available on the network to which it is bridged, including file servers, printers, gateways, and so on. Likewise, any physical host or other virtual machine configured with bridged networking can use resources of that virtual machine[/QUOTE]
хост система у меня OpenSUSE, гостевая - WinXP Pro SP3.
Интерено, что если в первом скане порты filtered, то во втором, (XMAS Scan) порты уже open|filtered
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
Завтра попаду на работу, не пожалею одну машину на тест
[QUOTE=Geser;257207]Это правило что, не работает?[/QUOTE]
сделал. Провел два скана:
1. nmap -T Aggressive -sS -v 192.168.0.2
2. nmap -T Aggressive -sU -v 192.168.0.2
Вот лог вайршарка (94 кб) - [ATTACH]62191[/ATTACH]
[QUOTE=p2u;257323]Я предлагаю (для тех, которые имеют такую возможность, конечно) работать не под VM, а на физических компах - результат будет другим.
Paul[/QUOTE]
можно, конечно, и через инет, если открытый айпи. Кого посканировать, какой фаер? ;)
[QUOTE=ALEX(XX);257352]берём чистую систему (+ апдейты), никаких служб не отключаем, ничего кроме КИС2009 не ставим, КИС дополнительно не настраиваем, всё по дефолту. ИМХО, это самая распространённая ситуация, как тут любят говорить - ПК "домохозяйки" :) Потом берём nmap и натравливаем его на эту машину.[/QUOTE]
у моей домохозяйки я держу почти такую машину :) Есть, конечно, дополнительный софт, не системный. Разве он помешает чистоте опыта? Еще остается вопрос логов ЗА кис - если такая возможность вообще есть
[quote=costashu;257370]Есть, конечно, дополнительный софт, не системный. Разве он помешает чистоте опыта? [/quote]
Не должон :)
[QUOTE=ALEX(XX);257352] Интерено, что если в первом скане порты filtered, то во втором, (XMAS Scan) порты уже open|filtered[/QUOTE]
Я не исключаю, что КИС таким образом пакеты таких сканов отбрасывает. Из документации по nmap:
[url]http://nmap.org/book/man-port-scanning-basics.html[/url]
[quote]open|filtered
Nmap places ports in this state when it is unable to determine whether a port is open or filtered. This occurs for scan types in which open ports give no response. The lack of response could also mean that a packet filter dropped the probe or any response it elicited. So Nmap does not know for sure whether the port is open or being filtered. The UDP, IP protocol, FIN, NULL, and Xmas scans classify ports this way.[/quote]
То есть - nmap'у непонятно, открыт ли порт или нет. Это только говорит хакеру о том, что там, скорее всего, пакетный фильтр установлен. Возможно по другим признакам (какие-то задержки в милисекундах, допустим) можно определить какой именно, и начинать эксплойт против него, но это уже другой вопрос. Ничего плохого о КИСе это само по себе не говорит. :)
Paul
На форуме ЛК был задан вопрос [url]http://forum.kaspersky.com/index.php?showtopic=77651&st=0&start=0[/url] ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?
[quote=SDA;258818]На форуме ЛК был задан вопрос [URL]http://forum.kaspersky.com/index.php?showtopic=77651&st=0&start=0[/URL] ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?[/quote]
Во-во. Когда КИС7 стоял, тоже удивлялся. Ну хоть бы кто-нибудь стукнулся. Прикола ради поставил NIS2007, тот частенько сообщал о "звонках в дверь"
А то что тему закрыли, ну это понятно :)
[QUOTE=SDA;258818]На форуме ЛК был задан вопрос [url]http://forum.kaspersky.com/index.php?showtopic=77651&st=0&start=0[/url] ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?[/QUOTE]
Прочитал топик. Ответ MiStr частично прадва - ZoneAlarm переборщает, конечно, и, особенно в бесплатной версии играет на страх (возможно в надежде, что будут покупать версю Про, которая 'ещё лучше' (;)) - большинство блокируемых 'атак' лишь шум на задном фоне. Но это не значит, что автора надо 'послать' за несостоятельность его вопроса (мы здесь убедились уже в обратном), как некоторые начали делать (MiStr не в счёт - он себя корректно вёл).
Замечание с которым он закрыл топик заставило меня улыбнуться. Цитирую:
[quote]Он задал совершенно нормальный вопрос, который бы и я задал, [b]если бы не знал истины.[/b][/quote]
Так держать! Может переименовать ник в MisteryMan, a? ;)
Paul
Наверное КИС - партизан :)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=p2u;258842]Так держать! Может переименовать ник в MisteryMan, a? ;)
Paul[/quote]
The truth is out there.... [SIZE=1](а точнее - в вине)[/SIZE]
Paul, у меня стоял ZoneAlarmPro, а "червивые" айпи было видно невооруженным взглядом :) на местном форуме даже тема была - "айпи с которых рассылаются вирусы" :)
[QUOTE=SDA;258847]Paul, у меня стоял ZoneAlarmPro, а "червивые" айпи было видно невооруженным взглядом :) на местном форуме даже тема была - "айпи с которых рассылаются вирусы" :)[/QUOTE]
Я это понимаю, но что если у ЛК политика такая - 'молча блокировать - меньше знают, лучше спят' (как встроенный файрвол в Windows)? Конечно, я уже годами пытаюсь добываться подробных журналов по умолчанию туда-сюда в файрволе ЛК, как это прекрасно реализовано в Аутпосте, но 'не судьба' так сказать. Я устал. Больше не буду требовать. :)
Paul
[quote=SDA;258818]Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?[/quote]
У меня примерно за полтора месяца KIS 2009 не заблокировала ни одной атаки. До этого очень недолго стоял KIS 7-тоже ничего не было (из атак). Как-то странно...Опасные службы я только вчера закрыл (как в книге написано про безопасный интернет, и то не все). Где же атаки? Хотя возможно фаерволл на роутере мне все блокирует, в отчетах очень много таких записей:
[SIZE=-1]Wednesday July 23, 2008 14:21:47 Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:21:50 Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:21:56 Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
[/SIZE][SIZE=-1]Wednesday July 23, 2008 14:26:38 Disassociated: Blocked access attempt from 125.211.198.7:34091 to UDP port 1026
Wednesday July 23, 2008 14:28:11 Disassociated: Blocked access attempt from 222.72.135.40:57587 to UDP port 11244
Wednesday July 23, 2008 14:33:28 Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
Wednesday July 23, 2008 14:33:31 Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
Wednesday July 23, 2008 14:33:37 Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
[SIZE=3]И подобных записей очень много каждый день. А каспер ничего не блокирует.[/SIZE]
[/SIZE]
продолжу о методике тестирования фаеров, и в частности - фаера кис. После многочисленных собственных сканирований предлагаю сканировать порты в два этапа -
1. быстрый скан nmap всех портов tcp и udp. Команда типа
[B]nmap -T4 (или -T5) -sS -sU -p0-65535 <хосты>[/B]
2. подробный скан nmap интересных портов. Команда типа
[B]nmap -v -v -T1 (или -T0) -sS (и/или -sU) -sV --reason -p<порты> <хост>[/B]
Проверил, перехватывает ли вайршарк (установленный на сканируемом хосте) трафик до кис, одновременно с ним или после. Я в своем опыте убедился, что после. Привожу результат двух подробных сканирований портов tcp и udp 135-139 для проверки работы правил Local Services (TCP) и Local Services (UDP), о которых я спрашивал в первом посте темы, вместе с логом вайршарка ([ATTACH]63033[/ATTACH], 3.5кб).
Команда nmap -sS -sU -sV --reason -p135-139 192.168.0.2
1. правила отключены (сниф со строки 14):[CODE]PORT STATE SERVICE REASON VERSION
135/tcp open msrpc syn-ack Microsoft Windows RPC
136/tcp closed profile reset
137/tcp closed netbios-ns reset
138/tcp closed netbios-dgm reset
139/tcp open netbios-ssn syn-ack
135/udp closed msrpc port-unreach
136/udp closed profile port-unreach
137/udp open netbios-ns udp-response Microsoft Windows NT netbios-ssn (workgroup: COSTA)
138/udp open|filtered netbios-dgm no-response
139/udp closed netbios-ssn port-unreach[/CODE]2. правила включены (сниф со строки 133):[CODE]PORT STATE SERVICE REASON VERSION
135/tcp filtered msrpc no-response
136/tcp closed profile reset
137/tcp filtered netbios-ns no-response
138/tcp filtered netbios-dgm no-response
139/tcp filtered netbios-ssn no-response
135/udp open|filtered msrpc no-response
136/udp closed profile port-unreach
137/udp open|filtered netbios-ns no-response
138/udp open|filtered netbios-dgm no-response
139/udp open|filtered netbios-ssn no-response[/CODE]Интересно также услышать мнение Олега Зайцева и DVi об этой методике. Желающим предлагаю посканировать порт 123/udp - он открыт [I]почти[/I] всегда :(
Применять ли APS - вопрос интересный, даже концептуальный. Должен ли фаер прикрывать обычно закрытые порты? Место ли в персональном фаере классическому правилу фаеров запретить всё всем? Я считаю, что должен и место, но я гикнутый и вхожу в "1%" юзеров, на которых ЛК не ориентируется ;)
[QUOTE=costashu;258871] Применять ли APS - вопрос интересный, даже концептуальный. Должен ли фаер прикрывать обычно закрытые порты? Место ли в персональном фаере классическому правилу фаеров запретить всё всем? Я считаю, что должен и место, но я гикнутый и вхожу в "1%" юзеров, на которых ЛК не ориентируется ;)[/QUOTE]
Лучше высказать ту же мысл, чем вы - не могу. +1
[QUOTE=1205;258864] Хотя возможно фаерволл на роутере мне все блокирует, [/QUOTE]
Не 'возможно', а точно. Это по моему и есть записи из раутера нет? КИС, насколько я помню, так не пишет журналы...
Paul
[QUOTE=p2u;258850]Я это понимаю, но что если у ЛК политика такая - 'молча блокировать - меньше знают, лучше спят' (как встроенный файрвол в Windows)? Конечно, я уже годами пытаюсь добываться подробных журналов по умолчанию туда-сюда в файрволе ЛК, как это прекрасно реализовано в Аутпосте, но 'не судьба' так сказать. Я устал. Больше не буду требовать. :)
Paul[/QUOTE]
Это точно. Я тоже просил просил сделать нормальные логи, но так и не допросился.