-
Junior Member
- Вес репутации
- 57
APS. Работа с прогой. Анализ данных. Фикс проблем.
Переношу своё сообщение-вопрос из раздела Помогите!, здесь оно будет более уместным:
Сообщение от
Sality
APS скачал, поставил и почти каждые 5мин получаю предупреждения об атаке хакера. Часть из них я и сам могу разобрать, например сканирования локальной сети прогами типа lanscope APS воспринимает как атаку, то же и при активности некоторых портов сетевых игр. Но что делать с остальными, как понять какие из них являются параноей APS, а какие - действительно атаки? Выкладывать логи сюда? Но ведь атаки идут постоянно, причём с разных адресов.
Для примера:
атака на порт 1080;
описание: Socks 5, CoolProxy, Wingate Proxy;
статус: Тревога - хакер!!!!, Flood;
доп.сведения: 118.167.139.187 118-167-129-187.dynamic.hinet.net;
попытка: 91
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Гораздо проще сначала прочитать документацию по APS А там написано, что это детектор подключения к порту с функцией простейшей имитации основных сервисов (на уровне передачи заранее заготоволенного ответа). Это подробно расписано вот тут - http://www.z-oleg.com/secur/aps/index.php и вот тут http://www.z-oleg.com/secur/aps/faq.php , а вот собственно раздел документации с советами по анализу - http://www.z-oleg.com/secur/aps/aps_an.php
В частности, применяется APS в основном для
1. Проверки Firewall (т.е. если APS в недоверенных у Firewall, или Firewall аппаратный, то APS должен молчать)
2. Отлова шутников в корпоративных ЛВС - это основное назначение. В корпоративных ЛВС как известно за всякие шалости типа сканирования сети, сканирование портов и ли сетевые игры можно лишиться чего-нибудь, например премии или работы. Предполагается, что это основное применение APS, использует его админ ЛВС, который устанавливает, какие порты следует прослушивать и точно знает, что ему делать с полученными логами (соответственно именно для этого там встроенный WEB сервер для просмотра логов и система передачи алертов по сети и электронной почте).
Последний раз редактировалось Зайцев Олег; 07.02.2009 в 22:04.
-
-
Junior Member
- Вес репутации
- 57
Гораздо проще сначала прочитать документацию по APS
Что я и сделал .
Но ответа на поставленные мною вопросы я там не нашёл ).
Исходя из вашего ответа, простому юзеру ПК без firewall'a эта прога не поможет? И указанную в примере атаку мне придётся просто терпеть?
-
Сообщение от
Sality
Что я и сделал
.
Но ответа на поставленные мною вопросы я там не нашёл ).
Исходя из вашего ответа, простому юзеру ПК без firewall'a эта прога не поможет? И указанную в примере атаку мне придётся просто терпеть?
Первая фраза из FAQ в документации:
Может ли утилита APS заменить Firewall ?
Нет. Утилита предназначена для обнаружения факта подключения к защищаемым портам, а не для защиты имеющихся сервисов за счет фильтрации трафика в соответствии с заданными в настройке правилами. Более того, одно из основных предназначений APS состоит в тестировании работы Firewall
-
-
Junior Member
- Вес репутации
- 57
Ясно. Ну чтож, тогда буду ждать пока вы создадите новый маленький шедевр - файрвол размером с avz, не уступающий ему в функциональности .
-
Сообщение от
Sality
Ясно. Ну чтож, тогда буду ждать пока вы создадите новый маленький шедевр - файрвол размером с avz, не уступающий ему в функциональности
.
Думаю долго ждать придется Я бы в таком случае сам бы занялся программированием чем ждать того чего ни когда не будет... Воспользуйтесь одним из бесплатных файров которые выдаст любая из поисковых систем.
-
-
Воспользуйтесь одним из бесплатных файров которые выдаст любая из поисковых систем.
например по слову WIPFW, кстати на его основе народ вроде уже ваяет и с потдержкой контроля приложений, ну а про размер ... в общем смотрите сами.
-
Junior Member
- Вес репутации
- 57
Сообщение от
Virtual
например по слову WIPFW, кстати на его основе народ вроде уже ваяет и с потдержкой контроля приложений, ну а про размер ...
в общем смотрите сами.
О, спасибо за совет, хорошая прога, такую и искал. Тольк вот в настройках не разобрался, достаточно того, чтобы висела в процессах? Поможете разобраться?
-
Junior Member
- Вес репутации
- 57
Может кто-нибудь, кто использует эту прогу отпишется? Я никак в ней не разберусь, после её запуска APS перестаёт сообщать об атаках, но и инет толком не пашет.
-
пиши о проблемах поможем разобратся.
//имхо похоже ты недопонял что это такое.
это консольный файрвол без контроля приложений, аналог IPFW в *nix (соответственно любой, "шарящий" админ, *nix операционок вам поможет)
состоит из 2х частей
а. сам фарвол (драйвер)
б. оболочка конфигурирования (служба)
!!!правила должны находится в текстовом файле (который указывается при инсталяции сервиса в .бат файле)
(тоесть для его работы нужно всего 3 файла: драйвер .sys, служба .exe и конфиг *.* )
для написания правил вам, как минимум, понадобится понимание что есть:
.сетевые интерфейсы
.протоколы (tcp, udp, ip) протоколы верхнего уровня (http, ftp, pop и т.д.)
. ip адреса и маски
для начала озвуч
.какую версию скачал себе, 2.8 или 3.2(бетта, не рекомендуется но очень хочется )
.какой конфиг используеш (кстати гдет на просторах инета видел простой начальный конфиг "паранойя" все входящие залочены)
как инсталиш (имхо то что предлагают, для меня не совсем подошло, переделал чтоб и конфиг копировался в систему, дабы инсталить и править с флешки, )
.что и от чего защищаем? (сервер, шлюз, обычную рабочую станцию)?
.что пользуем /клиенты, сервера/ ftp, http, клиенты пиринговых сетей...и т.д.
ЗЫЗЫ
http://wipfw.sourceforge.net/doc-ru.html доки на него
\\не рекомендую использовать sh.exe глучит местами
Последний раз редактировалось Virtual; 25.03.2009 в 15:30.
-
-
The worst foe lies within the self...
-