Ребята,вопрос такой: сетевой экран KIS время от времени блокирует входящие TCP-пакеты согласно правилам - Windows"ServerMessageBlock"Activity,MaliciousSoftw are"MyDoom"Ports и т.д. Мне сказали ,что это из сети зараженные компьютеры могут атаковать. Хотелось бы поподробнее узнать,что это за пакеты и как сними бороться.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да это понятно,в Viruslist тоже написано,что если блокирует,то все нормально.Тем более,что компьютер чистый.Просто хотелось-бы узнать:действительно ли это зараженные компьютеры такие пакеты посылают или какая-то иная причина.
Не возможно сказать точно, без информации об этих самых атакующих компьютерах.
Какая нужна в данном случае информация?
Логи с атакующих компьютеров нужны.
У Вас случаем не локалка? Если атаки идут из Вашей подсети нужно беспокоить админа.
Неплохо было бы для начала увидеть соответствующий лог KIS (или хотя бы приемлемо читаемую выжимку из него, можно в текстовом виде)...
??? Интересно,каким образом я могу получить логи с атакующих компьютеров??? Или Вы неточно сформулировали?Сообщение от pig
В том-то и дело что ни как
Нет не локалка,обычный домашний компьютер,подключенный к сети интернет по технологии ADSL. Но большинство пакетов от компьютеров моего провайдера,т.к.,насколько я знаю:если в IP-адресах первые три цифры одинаковые,то компьютеры из одной подсети. Но провайдеру,я думаю,на меня наплевать-скажут,что это мои проблемы(тем более там организация полусовковая и монополисты к тому же).
Тем более рукой махнуть... Активируйте в модеме файрвол + NAT и спите спокойно.
Чтобы отправить лог,нужно ждать этих пакетов,а если нужно что-нибудь "приемлемо читаемое",то в отчетах о фильтрации пакетов обычно указано следующее: правило-Windows"ServerMessageBlock"Activity;действие-заблокировано;направление-входящее;протокол-TCP;удаленный порт-2165;локальный порт-445. Как Вы поняли-это только один из примеров.Ну а в логе Вы ничего нового не увидите,кроме IP-адресов.
Добавлено через 1 минуту
Извините,можно подробнее?
Последний раз редактировалось no pasaran; 16.01.2008 в 09:36. Причина: Добавлено
Какой у Вас модем? При подключении используется логин\пароль?
Нет,ни пароль,ни логин не используются. А модем обычный внешний TP-LINK External ADSL Router.
А модель? В принципе на сайте Вашего провайдера есть дока по настройке роутера http://news.kht.ru/files/Instruction%20router.doc
Последний раз редактировалось Макcим; 16.01.2008 в 10:15.
Ну, хорошо... Сформулируем по-другому... =) "Атака" идет только на 445-й порт, но с разных IP-адресов?
PS. Как я понял, ваш модем сейчас работает в режиме моста. А он случаем, не имеет бортовой файрвол и/или NAT?
Последний раз редактировалось aintrust; 16.01.2008 в 10:33.
Скачал,посмотрел.В принципе у меня в руководстве по эксплуатации модема написано то-же самое,даже подробнее.Только не могу понять-зачем все эти заморочки,если и так все нормально работает(там ведь о том,что это как-то улучшит безопасность,ни слова не написано)???
Добавлено через 2 минуты
Да нет,и порты разные,и IP-адреса.А на счет NAT и бортового файрвола я не в курсе.
Последний раз редактировалось no pasaran; 16.01.2008 в 11:15. Причина: Добавлено
NAT будет отбивать эти пакеты до поступления на компьютер, плюс пароль будет храниться не в дырявой ОС, а в модеме. Ни один троян не доберется.
Последний раз редактировалось Макcим; 16.01.2008 в 12:32.
Неужели KIS не справится с этими пакетами? И,извините,как понимать Ваши слова"пароль" и "дырявая ОС"? ОС-вообще или моя ОС? Ну а по поводу пароля я совсем ничего не понял.
Ваши права в разделе
Ответить с цитированием
Для абсолютного спокойствия можно проверить Ваш компьютер. Для этого обратитесь в раздел "