Перейти к содержанию
Анатолий_П

Постоянно входящие соединения

Recommended Posts

Анатолий_П

Здравствуйте,

Постоянно файервол регистрирует входящие соединения, каждую минуту.

В основном с разных IP адресов и порты перебирают.

И еще заметил такую вещь: если зайду на какой-нибудь сайт, сайт может быть довольно известный и эти атаки потом начинаются от имени этого сайта(это видно по логам), на котором я побывал, буд-то они посмотрели на каком сайте я побывал и давай меня атаковать под видом этого сайта, может надеясь, что - а вдруг я разрешил какие-то соединения для этого сайта...

Возможно такое, что кто-то видит сайты, на которых я побывал и потом атаки идут как-бы от того сайта? Кто может узнать на каком сайте я побывал? Ну если только интернет-провайдеры..?

ПС: а если у меня соединение через локальную сеть, возьмем например участок сети от компьютера до того места в доме, вобщем откуда ноги растут, от компьютера до крыши или подвала(где там у них базируется оборудование), и вот вопрос: возможно ли на этом участке поставить устройство, которое будет тырить информацию незаметно - где я на каких сайтах лазил и др. информацию и отправлять куда-нибудь (например через wi-fi или еще как..)??? И возможно ли это опознать какими-нибудь тестами для сети???

Большое спасибо за ответы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Возможно такое, что кто-то видит сайты, на которых я побывал и потом атаки идут как-бы от того сайта? Кто может узнать на каком сайте я побывал? Ну если только интернет-провайдеры..?

Вариантов всего три:

1. (Некорректно настроенный Firewall + некоректная интерпретация его сообщений и логов + типовая активность вирусни в Интернет и ЛВС провайдера) * манию преследования

2. психологическая война + действия разведок и спецслужб - MI6, ФСБ, ФБР и Мосад скооперировались с провайдером, и давай жучки ставить, порты сканировать и атаки устраивать

3. это происки приспешников Доктора Зло (естественно, по его личному приказу)

А далее если серьезно - если логически подумать, какой из перечисленных вариантов кажется разумным ?

Смех то плохой - ко мне минимум раз в неделю обращаются с таким вопросом ... а на деле стоит задуматься вот о чем:

0. Главный вопрос: есть ли на ПК или в его Интернет трафике информация, которую кому-то "нужно тырить" ? На 99.999...% домашних ПК вообще ничего ценного нет и не будет, как следствие, никому нет смысла пытаться что-то там перехватить или украсть. Отсюда вопрос - кому нужно тратить немалые деньги на приобретение и установку неких устройств, установку оборудования для приема и обработки собранных ими данных и т.п. ?

1. Использовался ли на ПК P2P (например, uTorrent) ? Если да, то даже после его закрытия лавина попыток коннекта со стороны разных IP вполне нормальное явление, и от нее любой FW сойдет с ума.

2. Стоит понимать, что если браузер или некая иная программа почему-то не закроет соединение с удаленным хостом, или закроет его некорректно (например, Firewall его обрубит или таймаут истечет), то любые приходящие в ответ от хоста пакеты Firewall может распознать как некие атаки и блокировать пакеты. Естественно, никаких атак там нет, но с позиции Firewall это не так - с его позиции TCP сессия уже закрыта, и тут вдруг что-то приходит. И как следствие, "... давай меня атаковать под видом этого сайта ... " имеет вполне простое и разумное объяснение, никак с атаками не связанное.

3. Стоит понимать, что в Интернет существует огромное количество зараженных ПК, всяких "роботов", сканеров и т.п., которые тупо сканируют и бомбят пакетами все, что попадет им под руку. И даже многие альтернативные утилиты для просмотра ЛВС по сути являются сканерами, которые тупо сканируют сеть по портам 21, 25, 80, 135-137, 445 - достаточно 2-3 любителей таких утилит в сети провайдера + 10-15 зараженных ПК, и лавина срабатываний FW гарантирована ... но это п.п. 1 из предложенных вариантов, а не 2-3 :) Прибавим к этому сетевые игрушки и чаты (многие игровые сервера имеют тенденцию рассылать бродкасты на всю сеть), прибавим сканирование и пинги со стороны провайдера - и получим, что в ЛВС любого провайдера и в Интернет в целом будет куча мусорного трафика.

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
    • akoK
    • PR55.RP55
      Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ? А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да,  подпись могут отозвать и т.д.  Но...  
×