Показано с 1 по 12 из 12.

Постоянно стучаться на BOOTPS...

  1. #1
    Junior Member Репутация
    Регистрация
    19.04.2007
    Сообщений
    15
    Вес репутации
    62

    Постоянно стучаться на BOOTPS...

    Здравствуйте.

    Такой вопрос возник. С недавнего времени с одного IP локалки постоянно стучаться на мой BOOTPS=67 и BOOTPC=68 порты. Причем удаленный компьютер - меняет порт с которого стучиться - где-то в пределах от порта № 1000 до № 5000 и потом по кругу...

    Итак:
    1. Зачем кому-то стучаться ко мне на эти порты?
    2. За что эти порты отвечают?

    Впринципе я могу связаться с этим компьютером (этим IP) и что-то может подсказать... какие вообще действия или соображения?

    ps: знаете ли кто ресурс с описанием (не только нахванием портов) за что каждый порт отвечает?

    pps: Использую Outpost 4,0,964,6926 (602) + NOD 32 2.7
    Последний раз редактировалось Siller; 12.08.2007 в 14:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Если есть возможность, сделайте логи на том компе, что к вам ломится, и выложите в разделе "Помогите". Скорее всего там червячок завелся
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    19.04.2007
    Сообщений
    15
    Вес репутации
    62
    Bratez, пока что отправил сообщение этому ПК чтобы произвели полную проверку на вирусы и пр...

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Siller Посмотреть сообщение
    Итак:
    1. Зачем кому-то стучаться ко мне на эти порты?
    2. За что эти порты отвечают?
    1. Сеть у них криво настроена
    2. Указанный порт 67/UDP - это Bootstrap Protocol, он описан в RFC1542 (http://www.faqs.org/rfcs/rfc1542.html), а так-же в RFC 951, 1048, 1532, 2132 ... Т.е. кто-то включил на "атакующем" ПК загрузку по сети и он в ходе каждой перезагрузки ломится по этим портам и ищет BOOTP сервер. Это совершенно не опасно ... Второй вариант (даже более вероятный) - у "атакующего" включено получения адреса и настроек сети по DHCP протоколу, он тоже применяет указанные порты - см. http://ru.wikipedia.org/wiki/DHCP Опасность от этого так-же нулевая, известные зловреды такое не применяют, так как собственно в обычной операционке сервер DHCP отстутствует и эти порты попросту никто не прослушивает ...

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. Сеть у них криво настроена
    Ну, я бы не стал говорить так категорично. Первым делом я бы попросил сетевого админа (если таковой имеется в конторе) посмотреть настройки протокола TCP/IP на указанном компьютере. Если, как утверждает автор исходного сообщения, идут UDP-пакеты с определенного IP-адреса, то, скорее всего (тут я почти исключаю использование "чисто" протокола BOOTP - под Виндой он практически не используется сейчас), там стоит опция получения IP-настроек через протокол DHCP и данный клиент IP-адрес уже получил (а, значит, кто-то когда-то ему этот адрес выдал) - ничего криминального в этом нет! Не буду разжевывать детали протокола DHCP - читайте сами, там все понятно. Мне не нравится другое - если верить автору сообщения, то пакеты BOOTPC и BOOTPS идут с одного IP адреса - это странновато и может говорить о том, что на клиенте некорректно настроен т.н. bootp (dhcp) relay, что может быть уж совсем загадочно (а можно как-то получить журнал атак вашего фаервола - хочется иметь более детальную информацию)...

    В общем, сначала звать админа и выяснять, что и как. Если нет админа, то хотя бы выясните, в сети используются статические IP-адреса или динамические. Если первое, то вероятность неправильно настроенной сети на этом компе довольно велика, если второе - надо смотреть более детально сетевые настройки.

    Я бы также не скидывал со счетов и наличие зверя, так что давайте сюда на всякий случай и логи.

    PS. Что касается исходящих портов (их циклического изменения) - тут все ОК, в Винде 5000-ный порт по умолчанию настроен как максимальный исходящий.
    Последний раз редактировалось aintrust; 12.08.2007 в 16:30. Причина: PS...

  7. #6
    Junior Member Репутация
    Регистрация
    19.04.2007
    Сообщений
    15
    Вес репутации
    62
    Извиняюсь что долго не отвечал - емаил уведомлеиния запаздали...

    Итак - проблема решилась после того как я отправил сообщение тому ПК... о том чтобы проверились на вирусы а также настроили свое ВПН подключение, которое используется для выхода в инет.

    Зайцев Олег и aintrust - спасибо, за помощь и детальные разъяснения - позновательно

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    3
    Вес репутации
    61
    Цитата Сообщение от Siller Посмотреть сообщение
    Извиняюсь что долго не отвечал - емаил уведомлеиния запаздали...

    Итак - проблема решилась после того как я отправил сообщение тому ПК... о том чтобы проверились на вирусы а также настроили свое ВПН подключение, которое используется для выхода в инет.

    Зайцев Олег и aintrust - спасибо, за помощь и детальные разъяснения - позновательно
    Полагаю у парня на том конце, установлен WnRouter с включённым VPN сервером, при этом VPN не настроен, но включен?

  9. #8
    Junior Member Репутация
    Регистрация
    19.04.2007
    Сообщений
    15
    Вес репутации
    62
    Не знаю даже...


    Щас другая особенность:
    имя процесса: netbios
    протокол: UDP
    лок. адрес: моя подсеть (192,168,131,255) - т.е. что-то типа широковещания...
    лок. порт: netbios_dgm (138 )
    удал. адрес: похоже что все адреса моей подсети
    удал. порт: netbios_dgm (138 )

    Эти соединения постоянно меняются по удаленному адресу. Но в срежнем их около 20-50 в каждый момент времени. Раньше такого не было.

    Помнится было такое - "Запретить транзитные пакеты" - щас такого правила почему - то нет.

    Пока поставил в системе - блокировку нетбиос. Но все равно странно.

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2007
    Адрес
    Vladivostok
    Сообщений
    2
    Вес репутации
    61
    Вероятнее всего служба "Обозреватель компьютеров" или, менее вероятно "Служба сообщений" (Messenger), занимается этим делом.
    Попробуй врубить НетБивис и отключить обозреватель и/или messenger дабы уяснить в них ли причина.
    Еще NETBIOS Datagram Service "любит" пара-тройка служб..
    В общем случае нужно просмотреть какой потомок svchost занимается "простукавиванием".

  11. #10
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    1
    Вес репутации
    61
    Цитата Сообщение от Siller Посмотреть сообщение
    Извиняюсь что долго не отвечал - емаил уведомлеиния запаздали...

    Итак - проблема решилась после того как я отправил сообщение тому ПК... о том чтобы проверились на вирусы а также настроили свое ВПН подключение, которое используется для выхода в инет.

    Зайцев Олег и aintrust - спасибо, за помощь и детальные разъяснения - позновательно
    привет !
    у меня тоже стоит НОД32 и вот поставил UOTPOST и выяснилось что мой комп постоянно принимает,но ничего не отправляет, пакеты через DHCP по bootcp. как не стремился я отключить процесс-не получается.
    ПРОБЛЕМА у меня такая - пропадает место на локальном диске,где установлена система.Если посмотреть св-ва всех файлов,скрытых тоже,то все они занимают около 6ГБ на диске. А в Свойствах диска занято 9.5 ГБ...и пока не останеться НУЛЬ. ЧИСТИЛ ВРеменные файлы.ВСё что мог удалил.А ПРоблема осталась. гонял на трояны,на спам. ADWARE,Trtojan remover,Spyware doctor... ничего не помогло.
    OUTpost видит процесс,но не останавливает его.
    поэтому хочу спросить,как человек смог отправить сообщение на удалённый IP ,и связана ли это с нехваткой места.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от ded oleg Посмотреть сообщение
    OUTpost видит процесс,но не останавливает его.
    поэтому хочу спросить,как человек смог отправить сообщение на удалённый IP ,и связана ли это с нехваткой места.
    Стоит выполнить правила раздела "Помогите" - по логам можно более предметно сказать, что там за процесс такой ...

  13. #12
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    74
    OUTpost видит процесс,но не останавливает его.
    Всё правильно. Outpost - есть не утилита для прибивания процессов, протоколов и т.д. - это есть как таковой фаерволл с реал-тайм анализатором сетевой активности. Он процессы и т.д. не убивает, он лишь может запретить соединения согласно тем критериям/настройкам, которые у него прописаны.

    Siller , вообще - это Ваша локальная сеть? Это реальный Ваш IP + или например диапазон из пространства 192.168.0.0 и Вы этот адрес получаете только когда выходите в интернет? Если да, то Нетбиос Вам не нужен. Смело его отключайте. Я где-то здесь на форуме прописывал как полностью прибить Нетбиос в системе:
    http://virusinfo.info/showthread.php...hlight=netbios
    Еще почитать тут, может что интересное найдете:
    http://virusinfo.info/showthread.php...hlight=netbios
    http://virusinfo.info/showthread.php...hlight=netbios

    А до тех пор, пока у Вас включены определенные сервисы в Винде эти порты у Вас будут открыты и Outpost будет абсолютно честно говорить, что да, например, процесс system (или образно говоря netbios -отображение зависит от версии ОР) - сидит на этих портах.
    Далее. В ОР (Outpost) может быть такая ситуация в логах - "история заблокированных" - "пакет на закрытый порт" или "заблокировать NetBIOS" - направление пакета - "входящее". Тогда это нормальная ситуация - обычный сетевой шум от Ваших соседей. А вот если в ОР и в системе NetBios отключен, но Вы видите направление по этим портам исходящее, либо там висит посторонний процесс, то тогда делайте логи, как сказал Олег.
    Последний раз редактировалось orvman; 12.09.2007 в 05:08.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

Похожие темы

  1. Надо ли подключаться к сети?
    От Квазябр в разделе Технические и иные вопросы
    Ответов: 10
    Последнее сообщение: 08.06.2010, 00:05
  2. Он перестал включаться!
    От Nicolas в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 19.12.2008, 14:03
  3. Ответов: 1
    Последнее сообщение: 24.11.2008, 12:28
  4. Не лечаться вирусы на компьтере
    От Dimochka в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 14.10.2008, 11:21
  5. Не лечаться вирусы
    От Physical в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 09.12.2007, 00:21

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01497 seconds with 17 queries