forum.opennet.ru - "Что делать" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Что делать"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Что делать"
Сообщение от Guest on 30-Авг-02, 11:33 (MSK)
Ко мне переодически на 53 порт ломятся с некого IP файрвол их не пускает коворит DENY но всё же не очень приятно что посоветуете
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Что делать, Beh, 12:12 , 30-Авг-02, (1)
RE: Что делать, ovix, 13:37 , 30-Авг-02, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Что делать"

Сообщение от Beh on 30-Авг-02, 12:12 (MSK)

Лучшее средство зашиты - наподение :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Что делать"

Сообщение от ovix on 30-Авг-02, 13:37 (MSK)

Ну для этого и существуют firewall, поэтому это должно быть приятно.
Раз говориться порт 53 - значит это ломатся "на твой DNS".
Для начала - проанализируй ВНИМАТЕЛЬНО свой лог. Посмотри, может с этого адреса еще идут запросы по другим портам. Посмотри на структуру этих запросов: какое количество их в единице времени идет, с какими флагами, может тебя сканируют по этому порту. Посмотри, с каких портов идет запрос с этого адреса.
Вполне может быть, что у тебя закрыт tcp порт 53, а через него идет обмен зон DNS-сервера с твоим провайдером.
Выясни, кому принадлежит этот IP (может, это IP DNS-сервера твоего провайдера) и действуй (непосредственно с владельцами этого IP)
Если это вообще ЛЕВЫЙ и непонятный IP тогда можно просканировать этот IP по портам, желательно по всем, и посмотреть его порт 53 (tcp и udp, соответственно). Если появится его версия NameServer-a, тогда вперед что-либо творить (эксплоитов хватает). Причем, вероятность того, что версия этого сервера не будет подменена - 50/50. Но это крайний случай и вполне может оказаться непродуктивным и опасным. В любом случае надо выяснить, кто это.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Что делать"
Сообщение от Beh on 30-Авг-02, 12:12 (MSK)
Лучшее средство зашиты - наподение :)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: Что делать"
Сообщение от ovix on 30-Авг-02, 13:37 (MSK)
Ну для этого и существуют firewall, поэтому это должно быть приятно. Раз говориться порт 53 - значит это ломатся "на твой DNS". Для начала - проанализируй ВНИМАТЕЛЬНО свой лог. Посмотри, может с этого адреса еще идут запросы по другим портам. Посмотри на структуру этих запросов: какое количество их в единице времени идет, с какими флагами, может тебя сканируют по этому порту. Посмотри, с каких портов идет запрос с этого адреса. Вполне может быть, что у тебя закрыт tcp порт 53, а через него идет обмен зон DNS-сервера с твоим провайдером. Выясни, кому принадлежит этот IP (может, это IP DNS-сервера твоего провайдера) и действуй (непосредственно с владельцами этого IP) Если это вообще ЛЕВЫЙ и непонятный IP тогда можно просканировать этот IP по портам, желательно по всем, и посмотреть его порт 53 (tcp и udp, соответственно). Если появится его версия NameServer-a, тогда вперед что-либо творить (эксплоитов хватает). Причем, вероятность того, что версия этого сервера не будет подменена - 50/50. Но это крайний случай и вполне может оказаться непродуктивным и опасным. В любом случае надо выяснить, кто это.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх