/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Portscanninger og lignende - ignorerer man~
Fra : ZUM


Dato : 22-05-01 10:34

Hvad er den generelle holdning?
Hjælper det at brokke sig, eller er ISP'erne ligeglade?
Ifølge min firewall log bliver jeg scannet 5-8 gange i døgnet. :-|
Umiddelbart generer det ikke, men det er jo irriterende at se 255 linier med den samme idiot der prøver forskellige porte i hele c-klassen....

mvh Jan

 
 
Christian Andersen (22-05-2001)
Kommentar
Fra : Christian Andersen


Dato : 22-05-01 10:59

ZUM wrote:

>Ifølge min firewall log bliver jeg scannet 5-8 gange i døgnet. :-|
>Umiddelbart generer det ikke, men det er jo irriterende at se 255
>linier med den samme idiot der prøver forskellige porte i hele
>c-klassen....

Hvis han scanner et helt c-net og han er dansker er jeg sikker på at
hans ISP gerne vil høre om det.

Hvis han er udlænding er det mindre sikkert om de vil gøre noget. Men
prøv alligevel.

--
Mvh, Christian

Bliv fri for spam! - http://www.sneakemail.com

Bertel Lund Hansen (22-05-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 22-05-01 11:13

ZUM skrev:

>Hjælper det at brokke sig, eller er ISP'erne ligeglade?

ISP'erne er næppeligeglade med deciderede portscanninger, men
hovedparten af hvad der foregår er formodentlig normale ting. Jeg
kunne let forestille mig at de kunne drukne i klager over
ligegyldigheder fordi det ser 'farligt' ud når man får opsat en
firewall.

>Umiddelbart generer det ikke, men det er jo irriterende at se 255 linier
>med den samme idiot der prøver forskellige porte i hele c-klassen...

Sådan noget kunne godt få mig til at overveje en klage. Selv ser
jeg kun spredt fægtning som jeg ikke tror betyder noget.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Simon Skals (22-05-2001)
Kommentar
Fra : Simon Skals


Dato : 22-05-01 11:56

It seems Bertel Lund Hansen wrote:
>Sådan noget kunne godt få mig til at overveje en klage. Selv ser
>jeg kun spredt fægtning som jeg ikke tror betyder noget.

Meget af det, du ser som ''spredt fægtning'' er med stor
sandsynlighed portscanning af en større eller mindre udsnit af
den IP-blok, du bor i.

I Cybercitys interne grupper er det flere gange hændt, at vore
ADSL-brugere har sammenlignet logfiler og fundet, at de har haft
besøg af samme ubudne gæst med kort tids mellemrum.

Vores portscan-detector fanger da også uhyrlige mængder af den
slags snavs. Alene i dag den 22. maj har der været ca. 15 af
slagsen.

Fx sådan en som denne:

09:56:48.576772 212.187.23.180.47017 > 62.66.0.1.47017: SF 149021788:149021788(0) win 1028
09:56:48.576780 212.187.23.180.47017 > 62.66.0.2.47017: SF 149021788:149021788(0) win 1028
09:56:48.576928 212.187.23.180.47017 > 62.66.0.3.47017: SF 149021788:149021788(0) win 1028
09:56:48.576956 212.187.23.180.47017 > 62.66.0.4.47017: SF 149021788:149021788(0) win 1028
09:56:48.577078 212.187.23.180.47017 > 62.66.0.5.47017: SF 149021788:149021788(0) win 1028
09:56:48.577305 212.187.23.180.47017 > 62.66.0.6.47017: SF 149021788:149021788(0) win 1028
09:56:48.577415 212.187.23.180.47017 > 62.66.0.7.47017: SF 149021788:149021788(0) win 1028
09:56:48.577464 212.187.23.180.47017 > 62.66.0.8.47017: SF 149021788:149021788(0) win 1028
09:56:48.577611 212.187.23.180.47017 > 62.66.0.9.47017: SF 149021788:149021788(0) win 1028
09:56:48.577734 212.187.23.180.47017 > 62.66.0.10.47017: SF 149021788:149021788(0) win 1028
09:56:48.581411 212.187.23.180.47017 > 62.66.0.11.47017: SF 149021788:149021788(0) win 1028
09:56:48.813195 212.187.23.180.47017 > 62.66.0.12.47017: SF 149021788:149021788(0) win 1028
09:56:48.813324 212.187.23.180.47017 > 62.66.0.13.47017: SF 149021788:149021788(0) win 1028
09:56:48.813590 212.187.23.180.47017 > 62.66.0.14.47017: SF 149021788:149021788(0) win 1028
09:56:48.813597 212.187.23.180.47017 > 62.66.0.15.47017: SF 149021788:149021788(0) win 1028
[...]
10:18:33.798126 212.187.23.180.47017 > 62.66.255.240.47017: SF 544670927:544670927(0) win 1028
10:18:33.810707 212.187.23.180.47017 > 62.66.255.241.47017: SF 544670927:544670927(0) win 1028
10:18:33.839399 212.187.23.180.47017 > 62.66.255.242.47017: SF 544670927:544670927(0) win 1028
10:18:33.858147 212.187.23.180.47017 > 62.66.255.243.47017: SF 544670927:544670927(0) win 1028
10:18:33.877596 212.187.23.180.47017 > 62.66.255.244.47017: SF 544670927:544670927(0) win 1028
10:18:33.896916 212.187.23.180.47017 > 62.66.255.245.47017: SF 544670927:544670927(0) win 1028
10:18:33.913438 212.187.23.180.47017 > 62.66.255.246.47017: SF 544670927:544670927(0) win 1028
10:18:33.941940 212.187.23.180.47017 > 62.66.255.247.47017: SF 544670927:544670927(0) win 1028
10:18:33.960531 212.187.23.180.47017 > 62.66.255.248.47017: SF 544670927:544670927(0) win 1028
10:18:33.979473 212.187.23.180.47017 > 62.66.255.249.47017: SF 544670927:544670927(0) win 1028
10:18:33.999119 212.187.23.180.47017 > 62.66.255.250.47017: SF 544670927:544670927(0) win 1028
10:18:34.018335 212.187.23.180.47017 > 62.66.255.251.47017: SF 544670927:544670927(0) win 1028
10:18:34.040787 212.187.23.180.47017 > 62.66.255.252.47017: SF 544670927:544670927(0) win 1028
10:18:34.059928 212.187.23.180.47017 > 62.66.255.253.47017: SF 544670927:544670927(0) win 1028
10:18:34.078582 212.187.23.180.47017 > 62.66.255.254.47017: SF 544670927:544670927(0) win 1028
10:18:34.098772 212.187.23.180.47017 > 62.66.255.255.47017: SF 544670927:544670927(0) win 1028

Sådan scanner man 2^16 IP-adresser på godt 20 minutter!

Lidt nærmere research viser, at TCP port 47017 anvendes af programmet t0rn, der
er et såkaldt rootkit til Linux-maskiner.

--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."

Bertel Lund Hansen (22-05-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 22-05-01 15:01

Simon Skals skrev:

>Meget af det, du ser som ''spredt fægtning'' er med stor
>sandsynlighed portscanning af en større eller mindre udsnit af
>den IP-blok, du bor i.

Okay, det tænkte jeg ikke lige på.

Er der ikke nogen portscanninger der har med robotter at gøre?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Simon Skals (22-05-2001)
Kommentar
Fra : Simon Skals


Dato : 22-05-01 16:51

It seems Bertel Lund Hansen wrote:
>>Meget af det, du ser som ''spredt fægtning'' er med stor
>>sandsynlighed portscanning af en større eller mindre udsnit af
>>den IP-blok, du bor i.
>
>Okay, det tænkte jeg ikke lige på.

Det er også umuligt at se, når man kun har trafikken til en
enkelt IP-adresse at forholde sig til.

Ud fra erfaringen vil jeg imidlertid vurdere, at når man får en
ubuden pakke fx til en port, der bruges af en kendt trojansk
hest, så er der 95% sandsynlighed for, at et stort antal af de
omkringliggende IP-adresser har fået samme tur.

>Er der ikke nogen portscanninger der har med robotter at gøre?

Hvordan det? Jeg tror, de fleste portscanninger sker med
forholdsvis simple Windows- eller Unix-programmer, som kan
downloades fra et hav af skumle websites.

Jeg har set et par af slagsen, og de kræver sjældent andet input
end en port-range og en IP-range. Når det er udfyldt, skal man
bare trykke på knappen, og så scanner programmet løs og melder
tilbage med eventuelle gevinster.

--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408931
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste