Список форумов Winroute.ru Winroute.ru
Форум по продуктам компании Kerio
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
<a href="redirect.php?banner_id=1&amp;sid=d24db7b2a8daae61f3cdb462622681bf" target="_blank">Ad-Aware</a>

в логах пишет портскан что делать

 
Начать новую тему   Ответить на тему    Список форумов Winroute.ru -> Kerio Winroute Firewall
Предыдущая тема :: Следующая тема  
Автор Сообщение
infof
Профессионал
Профессионал


Репутация:
Зарегистрирован: 14.12.2005
Сообщения: 232
СообщениеДобавлено: 18 Апрель, 2006 - 16:54    Заголовок сообщения: в логах пишет портскан что делать Ответить с цитатой
пишет портскан с ip 192.168.0.50. Нет у меня машины с таким IP.
Что -это подмена IP. Как вычислить хост с которого эта дрянь лезет???
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Boieng
МегаГуру
МегаГуру


Репутация:
Зарегистрирован: 02.09.2005
Сообщения: 1183
Откуда: Новосиб
СообщениеДобавлено: 19 Апрель, 2006 - 12:26    Заголовок сообщения: Ответить с цитатой
антиспуфинг взведен? в момент скана пинг на этот адрес?
_________________
открыть ссылку]
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Цитировать выделенный текст
Marrab
МегаГуру
МегаГуру


Репутация:
Зарегистрирован: 15.04.2005
Сообщения: 2067
Откуда: Н.Новгород
СообщениеДобавлено: 19 Апрель, 2006 - 13:31    Заголовок сообщения: Ответить с цитатой
infof, сканируют какой интерфейс, внешний или внутренний? Если внешний, разбирайся с провайдером - это его глюки. Если внутренний, ищи "троянца", в смысле, чужой компьютер, или неправильно сконфигурированный свой.
_________________
Все хорошее когда-нибудь кончается...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Boewolf
Пользователь
Пользователь


Репутация:
Зарегистрирован: 22.12.2005
Сообщения: 16
Откуда: Самара
СообщениеДобавлено: 19 Апрель, 2006 - 14:16    Заголовок сообщения: Ответить с цитатой
А мне постоянно сканирую разные порты с адреса 225.230.230.234 по UTP.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Marrab
МегаГуру
МегаГуру


Репутация:
Зарегистрирован: 15.04.2005
Сообщения: 2067
Откуда: Н.Новгород
СообщениеДобавлено: 19 Апрель, 2006 - 14:32    Заголовок сообщения: Ответить с цитатой
Если по UTP, то проще это UTP выдернуть или надрать уши тому кто сидит с другого конца этого UTP Smile Ежели речь идет о UDP, то сделай блокирующее правило в Traffic Policy для этого адреса и спи спокойно.
_________________
Все хорошее когда-нибудь кончается...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
infof
Профессионал
Профессионал


Репутация:
Зарегистрирован: 14.12.2005
Сообщения: 232
СообщениеДобавлено: 20 Апрель, 2006 - 08:18    Заголовок сообщения: Ответить с цитатой
[quote]Если по UTP, то проще это UTP выдернуть или надрать уши тому кто сидит с другого конца [quote]
Как, чем выдергивать, методика определения хоста??
[quote]Если внутренний, ищи "троянца", в смысле, чужой компьютер, или неправильно сконфигурированный свой.
[quote]
Я так понимая мне надо как то отследить продвижение трафика . Как чем это делать??
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Marrab
МегаГуру
МегаГуру


Репутация:
Зарегистрирован: 15.04.2005
Сообщения: 2067
Откуда: Н.Новгород
СообщениеДобавлено: 20 Апрель, 2006 - 09:11    Заголовок сообщения: Ответить с цитатой
[quote="infof"]quote]Если по UTP, то проще это UTP выдернуть или надрать уши тому кто сидит с другого конца
Цитата:

Как, чем выдергивать, методика определения хоста??

Смайлик в конце видел?
А если серьезно, то, в случае правильной СКС, подобные вещи делаются с помощью умных свитчей, т.е. можно определить кто на каком порту сидит. В случае тупого свитча, действовать придется методом тыка.
_________________
Все хорошее когда-нибудь кончается...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Juve
Гуру
Гуру


Репутация:
Зарегистрирован: 01.03.2006
Сообщения: 312
Откуда: Moscow
СообщениеДобавлено: 20 Апрель, 2006 - 10:47    Заголовок сообщения: Ответить с цитатой
Boewolf,infof попробуйте NetView последней версии - там много чего полезного есть по этому поводу
_________________
Жизнь - это сонная необходимость абстракции труда...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
infof
Профессионал
Профессионал


Репутация:
Зарегистрирован: 14.12.2005
Сообщения: 232
СообщениеДобавлено: 20 Апрель, 2006 - 10:54    Заголовок сообщения: Ответить с цитатой
свичи 3com 4226- умные.
Что на них надо отстроить чтоб вычислить хост у которого идет подмена Ip
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Boewolf
Пользователь
Пользователь


Репутация:
Зарегистрирован: 22.12.2005
Сообщения: 16
Откуда: Самара
СообщениеДобавлено: 20 Апрель, 2006 - 13:22    Заголовок сообщения: Ответить с цитатой
Laughing
Пардон, конечно UDP! Витая пара тут не при чем.
А правило для этого дела подходит самое нижнее, просто сканят с одного Ip и всё
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Marrab
МегаГуру
МегаГуру


Репутация:
Зарегистрирован: 15.04.2005
Сообщения: 2067
Откуда: Н.Новгород
СообщениеДобавлено: 20 Апрель, 2006 - 13:55    Заголовок сообщения: Ответить с цитатой
infof писал(а):
свичи 3com 4226- умные.
Что на них надо отстроить чтоб вычислить хост у которого идет подмена Ip

А это придется читать доки к этому свитчу.
_________________
Все хорошее когда-нибудь кончается...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
infof
Профессионал
Профессионал


Репутация:
Зарегистрирован: 14.12.2005
Сообщения: 232
СообщениеДобавлено: 20 Апрель, 2006 - 14:06    Заголовок сообщения: Ответить с цитатой
Цитата:
А это придется читать доки к этому свитчу.

Как настраивается на конкретной модели -это понятно доки.
А что настраивать(логи, статистику,фильтрацию...)
метод выявления паразита какой, как сопоставить ip к определенному порту свича??
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Marrab
МегаГуру
МегаГуру


Репутация:
Зарегистрирован: 15.04.2005
Сообщения: 2067
Откуда: Н.Новгород
СообщениеДобавлено: 20 Апрель, 2006 - 15:21    Заголовок сообщения: Ответить с цитатой
Умные свитчи хранят в себе таблицу MAC-адресов устройств, которые через него работают. Совсем умные, наверное, хранят еще и таблицу соответствия клиентских IP-MAC. Если твой свитч хранит только МАС-адреса, можно поступить следующим образом: поймать момент скана, пингануть этот адрес, дать команду arp -a, из которой и получить искомый MAC-адрес. Если будешь давать команду arp -a со шлюза, то в принципе пинговать даже и не обязательно. Если тяжело ловить момент скана, есть более трудоемкий способ: определить MAC-адреса своих машин, а затем, методом исключения, найти на свитче порт, на котором висит чужая машина.
_________________
Все хорошее когда-нибудь кончается...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
infof
Профессионал
Профессионал


Репутация:
Зарегистрирован: 14.12.2005
Сообщения: 232
СообщениеДобавлено: 21 Апрель, 2006 - 09:31    Заголовок сообщения: Ответить с цитатой
ок
буду учить умный свич Razz
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Цитировать выделенный текст
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Winroute.ru -> Kerio Winroute Firewall Часовой пояс: GMT + 4
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы


ООО "АВ Софт"
тел. (495) 730-32-72
       (495) 730-32-73
email:
Powered by phpBB © 2001-2024 phpBB Group
Rambler's Top100