Регулярно, каждые 5 минут, появляются сообщения, что идет сканирование или атака. Почти всегда это с серверов, которые открыты в браузере (форум нгс, cn.ru) Защитник их блокирует, приходиться вручную снимать блокировку.

Кто подскажет что это за порты и что происходит - для сервера делают такое сканирование? Почти всегда это порты порядка 3xxx, 4xxx


18:58:31 Rst атака 195.93.187.1 -> 195.93.187.1
18:56:15 Сканирование портов 195.93.187.1 TCP (4869, 4866, 4884, 4865, 4815, 4814)
18:46:50 Rst атака 195.93.187.1 -> 195.93.187.1
18:45:59 Сканирование портов 195.93.187.1 TCP (4869, 4866, 4884, 4865, 4815, 4814)
18:35:35 Сканирование портов 195.93.187.1 TCP (4872, 4866, 4884, 4865, 4815, 4814)
18:35:06 Rst атака 195.93.187.1 -> 195.93.187.1
18:21:06 Rst атака 195.93.187.1 -> 195.93.187.1
18:10:50 Rst атака 195.93.187.1 -> 195.93.187.1
17:50:46 Rst атака 195.93.187.1 -> 195.93.187.1
17:40:30 Rst атака 195.93.187.1 -> 195.93.187.1

Вот этот вопрос получилось написать и отправить на форум с 3 раза, до этого нажимал отправить, сообщение улетало в никуда - после разблокировки писал снова.

А у Вас, случайно, radmin не установлен? Очень на его работу похоже :-) И Сайты здесь не при чем

Радмина не стоит.

Ответ нашел на офф сайте.

http://www.agnitum.ru/support/kb/article.php?id=1000193&lang=ru

Атака "RST"
Эта уязвимость может позволить атакующему создать условия для отказа от обслуживания установленных TCP-соединений, что влечет за собой преждевременный разрыв сессии. Так как атака использует случайный IP-адрес в качестве источника, возможно источник (если он существует) отправит обратно на сервер пакет обрыва соединения (RST/ACK), сигнализирующий о том, что он не отправлял запрос на соединение. Наиболее вероятно, что IP-адрес не соответствует ни одному из активных соединений (так как это случайное число); сервер будет пытаться инициировать соединение заново, отправляя обратно на фиктивный исходный IP-адрес пакеты SYN/ACK, а затем RST/ACK (так как не получит обратно ни одного ACK-пакета). Все это создает незавершенные или полуоткрытые соединения. Атаки RST могут также вызывать постоянное изменение маршрута маршрутизатором, что отнимает его ресурсы.


Не понятно, почему приходит отчет об обнаружении атаки. Я так понимаю программу то же не просто так делали и такие сообщения не случайны?

Ну так ищите у себя. У вас адрес источника и атакуемый адрес -- совпадают.

В журнале не показывает атакуемый.
Записи только такие.
11:32:15 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:33:11 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:36:55 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1060, 1057, 1408, 1487, 1486, 1405))
11:42:31 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:43:27 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:45:59 Атакующий заблокирован Обнаружена Rst атака с turizm.ngs.ru -> turizm.ngs.ru
11:47:23 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1408, 1487, 1486, 1405, 1060, 1057))
11:52:47 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:53:43 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:57:43 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1057, 1408, 1487, 1486, 1405, 1060))
12:03:03 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
12:03:59 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
12:08:11 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1060, 1057, 1408, 1487, 1486, 1405))

Так как атака использует случайный IP-адрес в качестве источника

11:32:15 Атакующий заблокирован Обнаружено сканирование портов с адреса ixbt.com (порты: TCP (1301, 1172, 1184, 1241, 1484, 1166))
11:33:11 Атакующий заблокирован Обнаружено сканирование портов с адреса turizm.ngs.ru (порты: TCP (1196, 1226, 1225, 1819, 1816, 1814))
11:36:55 Атакующий заблокирован Обнаружено сканирование портов с адреса service.sibnet.ru (порты: TCP (1060, 1057, 1408, 1487, 1486, 1405))

Тайный смысл атаки в том, что кто-то отправляет SYN пакеты с поддельным обратным адресом - если компьютеры будут отвечать на это то отвечать в адреса ixbt.ru, turizm.ngs.ru, service.sibnet.ru итд, что должно привести к увеличению запросов на эти сервера и вывести их из обслуживания. А в простонародье - кто-то у вас в сегменте ваше сети заразу поймал.

видимо так и есть.

Но. У меня в сети нет больше компов. В инете через вебстрим. Соответственно внешний IP. Потом у меня стоит модем в режиме роутера, и все.

Пока есть идея закрыть порты в модеме, те на которые наиболее часто приходят такие пакеты.

значит вы и поймали. Теперь ваш комп -- один из компьютеров ботнета

Еще веселее.

Антивирус стоит, но это ладно.
Но фаерволл почему не говорит про исходящие посылки?

Разве не могут пакеты приходить из внешнего интернета?

Раз так стало интересно, то поставлю эксперимент, закрою порты модема.

)))) есть такая фигня - интерфейс loopback - это тот случай когда до физической передачи пакета не доходит, он из очереди на отправку перемещается в очередь приемки. Видимо аутпост не считает нужным проверять пакеты "обратной петли" - вот вы сами себе и посылаете в локалхост син-запросы )))

Что с этим можно сделать ? Пока не понятно.

Найти заразу и придушить/подарить любимому недругу :))))

Так заразу то у себя искать ?
Включил второй комп в локалке, поставил outpost - и такая же ерунда.
Компы включал по отдельности.

=) поставьте эсперимент - накатите просто винду и аутпост, поднимите вепстрим, больше ничего не ставьте и воткните в инет - все будет чисто - сетапьте поочереди приложения - может какой глюк приложений. Если на чистую винду будут "наезды" - то я уж не знаю - тем более что компов два/* чистая винда - имеется ввиду на отформатированный раздел */

Однако, эксперименты продолжаются.

Моя сеть: Модем - маршрутизатор с wifi - два компа.

После того как я убрал маршрутизатор, а комп воткнул напрямую в можем - прекратились зверские атаки.
Outpost молчит уже пол часа.
Сейчас попробую перенастроить эти два устройства (модем и роутер. А то на обоих используется NAT.
Может в этом причина.

А то на обоих используется NAT

не скажу что причина - но как вариант )))) А в каком режиме стоит вай-файный роутер? Может модем в бридж поставить, а роутером натить?

пока не получилось.

знаешь, если слегка задолбал аутпост - поставь KIS. сорри за оффтопик.

Решил проблему!

Как уже говорил, у меня стоял модем и маршрутизатор, на обоих использовался NAT. Хитро, но приходилось так делать. С модема получал инет, а на маршрутизаторе WiFi. Отключать NAT не получалось. Техническая поддержка ZYXEL предложила интересное решение, самому в голову такое не пришло, модем перевести в режим Моста, а авторизацию PPPoE проводить с маршрутизатора.