Прошу помощи у знающих.

[macka 0]

Доброго времени суток. Народ, мучает одна проблема - постоянные сетевые атаки. Притом атаки идут от юзвера интернета "билайн". Т.е. когда интернет не подключен, а есть лишь доступ по локалке, на трекер, атаки не прекращаются. Поэтому сделал вывод, что кто-то из "своих". В принципе вреда они не принесли, т.к. стоит куча "ловилок" и волов. Но очень неприятен сам факт вредительства и постоянные сообщения об атаках.

Итак вопрос:

1) можно ли как-нибудь вычислить вредителя? (обращался в центр поддержки интернета, там сказали, что не отслеживают действия пользователей, ну или просто не захотели помогать)

2) кто-нибудь встречался с подобной проблемой?

3) можно ли заблокировать атакующий компьютер, скрыв свой IP или иным образом? или самое надежное - найти подлеца и ...?

Заранее благодарен.

[Bumble-Bee 2]

т.к. стоит куча "ловилок" и волов.

Вроде как "КУЧА" --- это уже само по себе жЫрно...

Отрубить все шаренные ресурсы, поотключать лишние службы, фаерволом проверить и ограничить лишние приложения, или обязательные сервисы, ограничив их возможности, потом внимательно пошарить по теме: скрыть комп в сетевом окружении, также принудительно отрубается netbios, ещё посмотреть ограничить доступ по сети Гостя... Вобщем нормальные фаеры с этим справляются... Также в фаере отрубить оповещение об атаках и "забить"... Либо пойти каридальным путем:

а) шлюз на границе сети, например, "бытовой" роутер;

б) аппаратный фаер, типа, ZyWALL тыщ за семь;

в) комп-фаер-шлюз --- но, простого роутера хватит...

Можно ващще прикинуться идиотом и поставить honey-pot и чего-нить подсунуть в обратку, но это надо хорошо все таки тонкости знать...

[amanita 0]

мучает одна проблема - постоянные сетевые атаки. Притом атаки идут от юзвера интернета "билайн". Т.е. когда интернет не подключен, а есть лишь доступ по локалке, на трекер, атаки не прекращаются. Поэтому сделал вывод

ИМХО, Вы сделали неверный вывод... Если как Вы говорите, у Вас куча ловилок и прочего, то скорее всего Ваши ловилки реагируют на торрент-клиент и множественные соединения P2P между Вами и пользователями - тот же Autpost FW очень нервно реагирует на активность P2P, как впрочем NOD, Norton и пр.

Не исключено, что в локалке шастает какая-то бяка, мой FW постоянно регистрирует попытки соединения на 445/139 порты, дропает пакеты и закакал весь лог сообщениями на эту тему, так что нужно разбираться.

Если Вы все же уверены, что это именно "нехорошая" активность - выложите логи и список ПО, которым пользуетесь для защиты. Посмотрим, как помочь Вам с этой проблемой...

Впрочем, сканирование портов не есть преступление, и то, что некоторые FW воспринимают как атаку может не являться таковой вовсе...

[Гость mistacker]

ИМХО, Вы сделали неверный вывод... Если как Вы говорите, у Вас куча ловилок и прочего, то скорее всего Ваши ловилки реагируют на торрент-клиент и множественные соединения P2P между Вами и пользователями - тот же Autpost FW очень нервно реагирует на активность P2P, как впрочем NOD, Norton и пр.

Не исключено, что в локалке шастает какая-то бяка, мой FW постоянно регистрирует попытки соединения на 445/139 порты, дропает пакеты и закакал весь лог сообщениями на эту тему, так что нужно разбираться.

Если Вы все же уверены, что это именно "нехорошая" активность - выложите логи и список ПО, которым пользуетесь для защиты. Посмотрим, как помочь Вам с этой проблемой...

Впрочем, сканирование портов не есть преступление, и то, что некоторые FW воспринимают как атаку может не являться таковой вовсе...

Насчет шастает бяка, Amanita по шареным (добровольно) ресурсам юзеров можно найти не только кино\клипы\игры и кучу пакостей типа пандоры.

Собственно, не сканирует при устройстве нашей локалки только тот, кто не знает, что это такое, а насчет какания в логи, так можно только уровень критикал поставить)))

Если серьезно, то совершенно верно, AGNITUM конкретно, мне вынем однажды мозг, когда я поставил "нового" клиента P2P (на трекере выложен), поэтому "атака" запросто может быть именно от него.

Владельцу проблемы советую загрузиться в PE\Linux livecd и посмотреть сетевую активность там. Неплохая кросплатформенная программа Wireshark.

Если и тогда "атаки" не прекратятся, можно начинать парится...

[Bumble-Bee 2]

Собственно, не сканирует при устройстве нашей локалки только тот, кто не знает, что это такое,

Звучит как "наезд"...

Ну я не сканирую... Но могу! И хоть все застрелитесь!

Впрочем, сканирование портов не есть преступление, и то, что некоторые FW воспринимают как атаку может не являться таковой вовсе...

Ясно! Принял как руководство к действию!!!

P.S. Я на всякий пожарный страничку-то сохраню, чтобы было, если что... на кого сослаться...

[Гость mistacker]

Тогда, внесу пояснение.

Есть масса программ, прослушивающих порты, например тот же торрент-клиент. Вроде никому вреда не приносит.

Но если вы преднамеренно вешаете локалку постоянными запросами, чем вызываете нагрузку на нее, тогда это если не нарущение закона (или условий договора), то по крайней глупая акция.

Разница чувствуете?

_____________

Вспомните, проблему нагрузки на локалку, когда в одной из версий Мюторрента коряво работали UDP запросы.

Так что в любом случае не стоит создавать дополнительную нагрузку на сеть.

_____________________

Возможно, скоро сканирование портов будет запрещено на законодательном уровне, первые предпосылки в этом направлении уже делаются.

[bsdnix 0]

Ясно! Принял как руководство к действию!!!

Не рекомендую, ибо запаритесь отзваниваться в ТП на тему заблокированной локальной сети. Если еще не звонили ни разу по поводу блокировки локалки, обратитесь к тем, кто уже сталкивался с такой проблемой, Вам расскажут сколько нужно истратить времени и нервов на доказательство необходимости проверки порта на предмет блокировки

[Bumble-Bee 2]

Возможно, скоро сканирование портов будет запрещено на законодательном уровне, первые предпосылки в этом направлении уже делаются.

В XSpider6 такое предупреждение прямо на старте системы висело... [OK] и всех делов!

Ну, сканировать можно и сервисами, можно просто у себя воткнуть APS (а, да! Ещё NETBIOS нужно бы разрешить и фаером не блокирвать) --- тогда вообще интересно будет... Вот помню на Стриме, время от времени просматирвая список отфильтрованных IP иногда среди "метров" (я щас о длине) отчета в иногда отфильтровывались машины с NetBIOS именами (ну и порты в придачу)... Так что активным сканом можно и не заниматься, или только по распротраненным 135-139 + 445.

Ну, если, конечно, возникнет жалание "нассать в карман" ближнему, то можно и расширить диапазон... Тем более у нормальных людей должен быть фаер: или виндовый, или хотя бы тупой, как Авасте (он может и прикрывает, только как работает --- не понятно).

P.S.

Не рекомендую, ибо запаритесь отзваниваться в ТП на тему заблокированной локальной сети.

А, вот ещё --- у меня есть один "друххх" --- eMule при старте его (но не факт) у меня были случаи блокировки сети --- по крайней мере я подозреваю его и пока не пользуюсь им (но в мае-июне пользовался). Изменено 22 октября, 2010 пользователем Bumble-Bee

[GlobeTrotter 0]

Доброго времени суток. Народ, мучает одна проблема - постоянные сетевые атаки. Притом атаки идут от юзвера интернета "билайн". Т.е. когда интернет не подключен, а есть лишь доступ по локалке, на трекер, атаки не прекращаются. Поэтому сделал вывод, что кто-то из "своих". В принципе вреда они не принесли, т.к. стоит куча "ловилок" и волов. Но очень неприятен сам факт вредительства и постоянные сообщения об атаках.

Итак вопрос:

1) можно ли как-нибудь вычислить вредителя? (обращался в центр поддержки интернета, там сказали, что не отслеживают действия пользователей, ну или просто не захотели помогать)

2) кто-нибудь встречался с подобной проблемой?

3) можно ли заблокировать атакующий компьютер, скрыв свой IP или иным образом? или самое надежное - найти подлеца и ...?

Заранее благодарен.

можно сделать, чтобы ваша машина не пинговалась, вообще

а порты были Stealth, то есть "никакими", с точки зрения сканера

почекать конечный результат можно этим: http://www.grc.com/default.htm

(сервис ShieldsUp! в верхней менюшке Services)

Изменено 26 октября, 2010 пользователем GlobeTrotter

[Bumble-Bee 2]

почекать конечный результат можно этим: _http://www.grc.com/default.htm_

на leader.ru сервис WHO так же приведет на сканер портов... Вот Ваша ссылка меня пыталась испугать, типа, "всё! Всё что нажито непосильным трудом... всё может стать достоянием интернета". На LEADER-е вываливает только то, что вываливает опера --- а сдает она с "потрохами"... Далее есть ссылка на tools on net, где

Scan time : 1 min. 12 sec.

(only well-known ports scanned)

Total scanned 462 ports

No open ports found

На что хочется заметить, штаааааа:

а) какой-то фаер воткнут ещё в личном кабинете Билайна, и все тесты --- не для локальных сетей;

б) у меня, например, поперек канала вставлен DIR-615c2, который тоже что-то умеет;

в) по старой памяти и по привычке портить приложениям жизнь (чтобы они не портили мне всё) --- стоит OutPost...

Так что "прочекаться" скороее всего не получится.

P.S. Интересно, а вот когда "грабли" на линии начинаются --- зачем ТП просит/требует отключить фаер (и антивирус) (так и сидишь с голой ж... при проверке) ???

Изменено 26 октября, 2010 пользователем Bumble-Bee