Про сканирование портов

[FONT=Times New Roman][SIZE=3]Здравствуйте, уважаемые специалисты. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Вот уже год пользуюсь интернетом, никаких проблем не наблюдалось. Но вот в один прекрасный день пришло мне в голову запустить программу сканирования портов APS, и оказалось, что мой компьютер постоянно подвергается атакам хакеров. В частности, следующие порты:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1026/UDP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1434/UDP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]22/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]23/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]110/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1080/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1114/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1433/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Вопрос следующий: есть ли необходимость срочно качать все эти безусловно полезные программы и утилиты, которые нужны для проверки компьютера согласно правил вашего раздела о помощи, и делать полную проверку? [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Простите за дилетантский вопрос, но какую именно РЕАЛЬНУЮ угрозу несут эти «атаки хакеров»? А то все эти «пугалки» про удаленное управление и т.д. в разных статьях не очень убеждают, с учетом того, что ничего страшного за год не произошло.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Нужно ли сносить мой любимый антивирус и покупать что-то супер-пупер-защищающее, или просто расслабиться и не запускать больше программу APS?:)[/SIZE][/FONT]

APS - Не программа сканирования портов; программа прослушивает несколько сотен портов для анализа входщих соединений по этим портам. [url]http://www.z-oleg.com/secur/aps/[/url] Таким образом можно тестировать правильную работу файрвола.

Как вы обнаружили, что вас действительно атакует? Это APS вам сообщает? У вас файрвол стоит какой-нибудь? Даже встроенный брандмауэер Windows должен защищать вас от атак извне.

Сам я вам советовал бы убрать APS. Зачем вам открытый порт 110 (почта), например, когда у вас компьютер-клиент, а не почтовый сервер?

Покажите лучше отчёт [url=http://download.sysinternals.com/Files/TcpView.zip]TCPView[/url]. Запустите tcpview.exe. Согласитесь, нажав ОК. Копируйте то, что он показывает сюда или сделайте скриншот. Личные адреса маскируйте как-нибудь. Меня интересует то, что у вас на 'LISTENING' стоит.

Paul

Извиняюсь, что влезаю, но отделную тему создавать было бы флудом... p2u, мои скрин-ы посмотрите? У меня KIS 8.0.0.454. Netbios вообще отключенa в протоколах и сам протокол в свойствах сетевых подключений удалён. Откуда LISTENING?

[URL=http://img173.imagevenue.com/img.php?image=12963_1_123_735lo.jpg][IMG]http://img173.imagevenue.com/loc735/th_12963_1_123_735lo.jpg[/IMG][/URL][URL=http://img169.imagevenue.com/img.php?image=13287_2_123_799lo.jpg][IMG]http://img169.imagevenue.com/loc799/th_13287_2_123_799lo.jpg[/IMG][/URL]

[QUOTE=Dr.;265732]Извиняюсь, что влезаю, но отделную тему создавать было бы флудом... p2u, мои скрин-ы посмотрите? У меня KIS 8.0.0.454. Netbios вообще отключенa в протоколах и сам протокол в свойствах сетевых подключений удалён. Откуда LISTENING?[/QUOTE]
Видимо у вас netbios всё-таки не отключён на всех интерфейсах. В зависимости от тип сети вам он, возможно, нужен (допустим для вашего сетевого адаптера/модема).
[url=http://virusinfo.info/showthread.php?t=4243]Как отключить NetBIOS? [/url]
Попробуйте ещё [url=http://www.firewallleaktester.com/wwdc.htm]Windows Worms Doors Cleaner[/url]
Прямая ссылка для загрузки: [url=http://www.firewallleaktester.com/tools/wwdc.exe]WWDC.EXE[/url]
Все параметры должны быть зелёными. Если нет, то тогда нажать Disable на нужный параметр (запомните его!) и перезагрузить компьютер. Потом заново проверьте состояние портов. Если против этих мер сеть не работает, то тогда вернуть всё до прежднего состояния.

Есть ещё кое-что от Майкрософта. Можно либо проходить по данному [url=http://forum.kaspersky.com/index.php?showtopic=30184]списку[/url] служб на отключение, либо связаться со мной в личку.
Другие параметры LISTENING это от самого Касперского (avp.exe) (это так положено).

Paul

У меня ADSL роутер. Наверно netbios для него необходима.
Windows Worms Doors Cleaner использую давно, но добиться всех зелёных не удаётся. После перезагрузки,-снова жёлтая кнопка.
[URL=http://img146.imagevenue.com/img.php?image=65814_111_123_849lo.jpg][IMG]http://img146.imagevenue.com/loc849/th_65814_111_123_849lo.jpg[/IMG][/URL]
Все службы из списка отключены. Только автообновление вручную.

[QUOTE=Dr.;265829]У меня ADSL роутер. Наверно netbios для него необходима.[/QUOTE]

Обычно нет. А он у вас в режиме "моста" работает? (Подключается он сам к интернету при включении или вы устанавливаете соединения из windows)

[QUOTE=Dr.;265829]У меня ADSL роутер. Наверно netbios для него необходима.
Все службы из списка отключены. Только автообновление вручную.[/QUOTE]
Можете не волноваться.

Paul

[quote=zerocorporated;265837]Обычно нет. А он у вас в режиме "моста" работает? (Подключается он сам к интернету при включении или вы устанавливаете соединения из windows)[/quote]

Да, автоматом подключается. p2u, спасибо. Я по моему понял в чём причина. Все "дверки" закрыты(зелёные) до тех пор, пока я не правлю неполадки реестра Ccleaner'ом. После чистки, одна желтеет.

[QUOTE=Dr.;265856] После чистки, одна желтеет.[/QUOTE]
Возможно она не может найти какую-нибудь запись в реестре. Ничего страшного. :)

Paul

p2u, спасибо за ответ. Да, об атаках я узнаю именно от APS. А почему бы и нет, если «Основным назначением данной программы является обнаружение хакерских атак» (цитата с приведенной Вами ссылки).
У меня сначала был включен брандмауэр Windows и стоял NOD32. Пару дней назад с перепугу поставил KIS 8.0.0.357 (trial), брандмауэр он отключил. Ситуация не изменилась (APS и дальше периодически кричал «внимание, хакер», в основном порты 1026/UDP, 1080/TCP), однако и KIS иногда сообщал о поползновениях на порт 1434/UDP (при отключенном APS). Только что поотключал NETBIOS, после перезагрузки TCPview показывает LISTENING только такие порты TCP:
1032 (alg.exe),
1110 и 19780 (avp.exe).
Вобщем, я так понимаю, проблем никаких нет? Просто «хакеры» (или что это было) слетаются на порты, нарочно открытые APS, как мухи на мед ?

[QUOTE=petrov;265905]
1032 (alg.exe),
1110 и 19780 (avp.exe). [/QUOTE]
alg.exe - Application Layer Gateway Service (Служба шлюза уровня приложения).
Если у вас XP SP2 или выше, и у вас нет FTP сервера, то тогда рекомендую отключить эту службу. Выходить из Интернета. В Панель Управления - Администрирование - Службы. Найтй её, щёлкать дважды на её название, и поставить её Тип Запуска на 'Отключено' (Применить - ОК). Перезагрузить комп. Порт 1032 будет закрыт.
[QUOTE=petrov;265905] Вобщем, я так понимаю, проблем никаких нет? Просто «хакеры» (или что это было) слетаются на порты, нарочно открытые APS, как мухи на мед ?[/quote]
Да, то, что APS делает на самом деле - он делает из вашего компа HoneyPot (банка с мёдом). Поэтому и получается 'как мухи на мёд'. Но проблема ещё в том, что вы, скорее всего, APS в 'Доверенные' КИСа поместили, что не соответствует инструкциям автора... :)

Paul

Вы меня окончательно успокоили, спасибо большое.

[QUOTE=petrov;265919]Вы меня окончательно успокоили, спасибо большое.[/QUOTE]
Не за что. Желаю чистого Интернета и спокойного общения... :)

Paul

Господа ! Очень хочу разобраться в сетевой безопасности , у меня домашний компьютер , пользуюсь Kaspersky Internet Security 7.0.1.325 в списке очень много открытых портов приложения SVCHOST.EXE понятно ,что это работа системы , но интересно знать какой номер порта какой службе или какому приложению соответствует ?

[QUOTE=Оптим;266492]интересно знать какой номер порта какой службе или какому приложению соответствует ?[/QUOTE]В Windows 65535 портов. С какого начнем? 8)
[url]http://www.iana.org/assignments/port-numbers[/url]
[url]http://www.spirit.com/Resources/ports.html[/url]
Так же можно почитать
[url]http://www.pcflank.com/index.htm[/url]
[url]http://www.grc.com/intro.htm[/url]

Я слабоват в английском нет ни чего русскоязычного?

[QUOTE=Оптим;266532]Господа ! Очень хочу разобраться в сетевой безопасности , у меня домашний компьютер , пользуюсь Kaspersky Internet Security 7.0.1.325 в списке очень много открытых портов приложения SVCHOST.EXE Вложение 66883 понятно ,что это работа системы , но интересно знать какой номер порта какой службе или какому приложению соответствует?

Я слабоват в английском нет ни чего русскоязычного?[/QUOTE]
У вас какая система? Не Виста случайно?
Тип соединения какой? Куда скриншоты исчезли?
По-русски нашёл следующую инфу:
[url=http://wiki.compowiki.info/PortyTCP]Порт TCP - Объяснение[/url]
[url=http://www.winsov.ru/safe061.php]Список портов и их сервисов[/url]

Paul

Да Виста.Соединение через ADSL модем. Я тут почитал немного и воспользовался рекомендациями :отключил большинство служб из списка ,также воспользовался прогой wwdc вот , что было [ATTACH]67042[/ATTACH] [ATTACH]67043[/ATTACH] -здесь конечно я уже отключал было почти все красное.
Вот , что сейчас :[ATTACH]67044[/ATTACH][ATTACH]67045[/ATTACH]
Можете что-нибудь порекомендовать ?

Еще вопрос: можно ли удалить из свойств подключений выделенные вещи (как указано в списке служб на отключение):[ATTACH]67052[/ATTACH]

Планировщиков пакетов Qos можно удалить,а вот Kaspersky NDIS фильтр лучше оставить,иначе трафик некому будет обнюхивать :)