-
Junior Member
- Вес репутации
- 63
Постоянно стучаться на BOOTPS...
Здравствуйте.
Такой вопрос возник. С недавнего времени с одного IP локалки постоянно стучаться на мой BOOTPS=67 и BOOTPC=68 порты. Причем удаленный компьютер - меняет порт с которого стучиться - где-то в пределах от порта № 1000 до № 5000 и потом по кругу...
Итак:
1. Зачем кому-то стучаться ко мне на эти порты?
2. За что эти порты отвечают?
Впринципе я могу связаться с этим компьютером (этим IP) и что-то может подсказать... какие вообще действия или соображения?
ps: знаете ли кто ресурс с описанием (не только нахванием портов) за что каждый порт отвечает?
pps: Использую Outpost 4,0,964,6926 (602) + NOD 32 2.7
Последний раз редактировалось Siller; 12.08.2007 в 14:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если есть возможность, сделайте логи на том компе, что к вам ломится, и выложите в разделе "Помогите". Скорее всего там червячок завелся
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Bratez, пока что отправил сообщение этому ПК чтобы произвели полную проверку на вирусы и пр...
-
Сообщение от
Siller
Итак:
1. Зачем кому-то стучаться ко мне на эти порты?
2. За что эти порты отвечают?
1. Сеть у них криво настроена
2. Указанный порт 67/UDP - это Bootstrap Protocol, он описан в RFC1542 (http://www.faqs.org/rfcs/rfc1542.html), а так-же в RFC 951, 1048, 1532, 2132 ... Т.е. кто-то включил на "атакующем" ПК загрузку по сети и он в ходе каждой перезагрузки ломится по этим портам и ищет BOOTP сервер. Это совершенно не опасно ... Второй вариант (даже более вероятный) - у "атакующего" включено получения адреса и настроек сети по DHCP протоколу, он тоже применяет указанные порты - см. http://ru.wikipedia.org/wiki/DHCP Опасность от этого так-же нулевая, известные зловреды такое не применяют, так как собственно в обычной операционке сервер DHCP отстутствует и эти порты попросту никто не прослушивает ...
-
-
Сообщение от
Зайцев Олег
1. Сеть у них криво настроена
Ну, я бы не стал говорить так категорично. Первым делом я бы попросил сетевого админа (если таковой имеется в конторе) посмотреть настройки протокола TCP/IP на указанном компьютере. Если, как утверждает автор исходного сообщения, идут UDP-пакеты с определенного IP-адреса, то, скорее всего (тут я почти исключаю использование "чисто" протокола BOOTP - под Виндой он практически не используется сейчас), там стоит опция получения IP-настроек через протокол DHCP и данный клиент IP-адрес уже получил (а, значит, кто-то когда-то ему этот адрес выдал) - ничего криминального в этом нет! Не буду разжевывать детали протокола DHCP - читайте сами, там все понятно. Мне не нравится другое - если верить автору сообщения, то пакеты BOOTPC и BOOTPS идут с одного IP адреса - это странновато и может говорить о том, что на клиенте некорректно настроен т.н. bootp (dhcp) relay, что может быть уж совсем загадочно (а можно как-то получить журнал атак вашего фаервола - хочется иметь более детальную информацию)...
В общем, сначала звать админа и выяснять, что и как. Если нет админа, то хотя бы выясните, в сети используются статические IP-адреса или динамические. Если первое, то вероятность неправильно настроенной сети на этом компе довольно велика, если второе - надо смотреть более детально сетевые настройки.
Я бы также не скидывал со счетов и наличие зверя, так что давайте сюда на всякий случай и логи.
PS. Что касается исходящих портов (их циклического изменения) - тут все ОК, в Винде 5000-ный порт по умолчанию настроен как максимальный исходящий.
Последний раз редактировалось aintrust; 12.08.2007 в 16:30.
Причина: PS...
-
-
Junior Member
- Вес репутации
- 63
Извиняюсь что долго не отвечал - емаил уведомлеиния запаздали...
Итак - проблема решилась после того как я отправил сообщение тому ПК... о том чтобы проверились на вирусы а также настроили свое ВПН подключение, которое используется для выхода в инет.
Зайцев Олег и aintrust - спасибо, за помощь и детальные разъяснения - позновательно
-
Junior Member
- Вес репутации
- 61
Сообщение от
Siller
Извиняюсь что долго не отвечал - емаил уведомлеиния запаздали...
Итак - проблема решилась после того как я отправил сообщение тому ПК... о том чтобы проверились на вирусы а также настроили свое ВПН подключение, которое используется для выхода в инет.
Зайцев Олег и aintrust - спасибо, за помощь и детальные разъяснения - позновательно
Полагаю у парня на том конце, установлен WnRouter с включённым VPN сервером, при этом VPN не настроен, но включен?
-
Junior Member
- Вес репутации
- 63
Не знаю даже...
Щас другая особенность:
имя процесса: netbios
протокол: UDP
лок. адрес: моя подсеть (192,168,131,255) - т.е. что-то типа широковещания...
лок. порт: netbios_dgm (138 )
удал. адрес: похоже что все адреса моей подсети
удал. порт: netbios_dgm (138 )
Эти соединения постоянно меняются по удаленному адресу. Но в срежнем их около 20-50 в каждый момент времени. Раньше такого не было.
Помнится было такое - "Запретить транзитные пакеты" - щас такого правила почему - то нет.
Пока поставил в системе - блокировку нетбиос. Но все равно странно.
-
Junior Member
- Вес репутации
- 61
Вероятнее всего служба "Обозреватель компьютеров" или, менее вероятно "Служба сообщений" (Messenger), занимается этим делом.
Попробуй врубить НетБивис и отключить обозреватель и/или messenger дабы уяснить в них ли причина.
Еще NETBIOS Datagram Service "любит" пара-тройка служб..
В общем случае нужно просмотреть какой потомок svchost занимается "простукавиванием".
-
Junior Member
- Вес репутации
- 61
Сообщение от
Siller
Извиняюсь что долго не отвечал - емаил уведомлеиния запаздали...
Итак - проблема решилась после того как я отправил сообщение тому ПК... о том чтобы проверились на вирусы а также настроили свое ВПН подключение, которое используется для выхода в инет.
Зайцев Олег и aintrust - спасибо, за помощь и детальные разъяснения - позновательно
привет !
у меня тоже стоит НОД32 и вот поставил UOTPOST и выяснилось что мой комп постоянно принимает,но ничего не отправляет, пакеты через DHCP по bootcp. как не стремился я отключить процесс-не получается.
ПРОБЛЕМА у меня такая - пропадает место на локальном диске,где установлена система.Если посмотреть св-ва всех файлов,скрытых тоже,то все они занимают около 6ГБ на диске. А в Свойствах диска занято 9.5 ГБ...и пока не останеться НУЛЬ. ЧИСТИЛ ВРеменные файлы.ВСё что мог удалил.А ПРоблема осталась. гонял на трояны,на спам. ADWARE,Trtojan remover,Spyware doctor... ничего не помогло.
OUTpost видит процесс,но не останавливает его.
поэтому хочу спросить,как человек смог отправить сообщение на удалённый IP ,и связана ли это с нехваткой места.
-
Сообщение от
ded oleg
OUTpost видит процесс,но не останавливает его.
поэтому хочу спросить,как человек смог отправить сообщение на удалённый IP ,и связана ли это с нехваткой места.
Стоит выполнить правила раздела "Помогите" - по логам можно более предметно сказать, что там за процесс такой ...
-
-
OUTpost видит процесс,но не останавливает его.
Всё правильно. Outpost - есть не утилита для прибивания процессов, протоколов и т.д. - это есть как таковой фаерволл с реал-тайм анализатором сетевой активности. Он процессы и т.д. не убивает, он лишь может запретить соединения согласно тем критериям/настройкам, которые у него прописаны.
Siller , вообще - это Ваша локальная сеть? Это реальный Ваш IP + или например диапазон из пространства 192.168.0.0 и Вы этот адрес получаете только когда выходите в интернет? Если да, то Нетбиос Вам не нужен. Смело его отключайте. Я где-то здесь на форуме прописывал как полностью прибить Нетбиос в системе:
http://virusinfo.info/showthread.php...hlight=netbios
Еще почитать тут, может что интересное найдете:
http://virusinfo.info/showthread.php...hlight=netbios
http://virusinfo.info/showthread.php...hlight=netbios
А до тех пор, пока у Вас включены определенные сервисы в Винде эти порты у Вас будут открыты и Outpost будет абсолютно честно говорить, что да, например, процесс system (или образно говоря netbios -отображение зависит от версии ОР) - сидит на этих портах.
Далее. В ОР (Outpost) может быть такая ситуация в логах - "история заблокированных" - "пакет на закрытый порт" или "заблокировать NetBIOS" - направление пакета - "входящее". Тогда это нормальная ситуация - обычный сетевой шум от Ваших соседей. А вот если в ОР и в системе NetBios отключен, но Вы видите направление по этим портам исходящее, либо там висит посторонний процесс, то тогда делайте логи, как сказал Олег.
Последний раз редактировалось orvman; 12.09.2007 в 05:08.
-