» »

A je to normalno? Intrusion detector na routerju

A je to normalno? Intrusion detector na routerju

imallears ::

Mene pa zanima če je naslednja zadeva normalna za običajnega uporabnika, namreč vsak dan je routerjev log poln takih in podobnih zadev s slovenskih, korejskih, kitajskih in kaj jaz vem katerih ipjev. Kaj naj naredim? Aja pa računalnik sem spucal z malwarebytesom, pregledal z avastom, ... nimam nič takega gor.

 intrusion detector

intrusion detector

ABX ::

Virusi, Botnet, ... razna sranja ki avtomatizirano iščejo žrtve na netu. Tvoj router jih pravilno zavrača.
Kot vidiš so to povezave proti tebi, za skrbet bi bilo v obratnem primeru.

Tako pač je na Internetu.

P.S: Lastnega IP-ja ni nikoli pametno javljat okoli, se vedno naje kdo ki "se mu da".
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

imallears ::

Ok hvala, sicer se mi je zdelo, ampak nism bil ziher ker je blo nekaj ip-jev slovenskih (žrtve al pa mamo tut kako golazn pri nas). Mam dinamicni ip, pa sm takoj po objavi posta reconnectu.

RejZoR ::

Včasih so ti IDS-ji tud mal preveč paranoični. Malformani paketki sicer niso zaželjeni ampak se dogaja da se spacajo v nerazpoznavne kupčke kode. Spet drugič lahko določen program generira karakteristike napada čeprav to ni.
Angry Sheep Blog @ www.rejzor.com

denial ::

V idealnem svetu naj bi že ISP na border routerjih filtriral večino tega sranja. NMAP scan 222.184.232.2 -> 192.168.11.15 izstopa, čeprav je najbrž le false positive.
SELECT finger FROM hand WHERE id=3;

BlueRunner ::

V idealnem svetu naj bi že ISP na border routerjih filtriral večino tega sranja.

Misliš reči v Pogumnem Novem Svetu™. ISP nima kaj gledati "to sranje" in odločati o temu kaj sme skozi in kaj ne.

Žalostno je samo to, da je ravno takšno filtriranje danes že praksa.

denial ::

Sure... Pa usput naj še spam filtre odstranijo, ker "ISP nima kaj odločat o temu kaj sme skozi in kaj ne".

Saj načeloma se tudi sam strinjam s tvojim načinom razmišljanja, vendar večini uporabnikov ta "absolutna svoboda" nič ne pomeni, ker jo ne znajo "shendlat".
SELECT finger FROM hand WHERE id=3;

techfreak :) ::

Potem pa vsaj opt-out iz filtriranja.

imallears ::

NMAP scan 222.184.232.2 -> 192.168.11.15 izstopa


Verjetno je možno, da je kaka golazen tolk sposobna, da potem ko izvede port scan, poskuša zlezt not prek odprtih portov (virtual server) ... true?

denial ::

@techfreak:
In kako naj bi bilo to izvedljivo v praksi?
SELECT finger FROM hand WHERE id=3;

ABX ::

denial je izjavil:

Sure... Pa usput naj še spam filtre odstranijo, ker "ISP nima kaj odločat o temu kaj sme skozi in kaj ne".

Saj načeloma se tudi sam strinjam s tvojim načinom razmišljanja, vendar večini uporabnikov ta "absolutna svoboda" nič ne pomeni, ker jo ne znajo "shendlat".


ISP ima Spam filtre?
Vaša inštalacija je uspešno spodletela!

BlueRunner ::

denial je izjavil:

@techfreak:
In kako naj bi bilo to izvedljivo v praksi?

Verjel ali ne, vsaj za tri ISP-je v Sloveniji lahko rečem, da trivialno. Tako za SPAM, kot tudi za ostalo solato.

Dokaz je recimo T-2, ki to uporabnikom dejansko ponuja. Celo tri stopnje filtriranja.

Težava pa je, če več nimaš možnosti opt-out ali pa ti to možnost podražijo, namesto, da bi bila celo cenejša (manj stroškov zagotavljanja storitve brez filtorv, kot pa z filtri).

denial ::

@imallers
Nekaj načinov premostitve NAT-a je sicer znanih, koliko so v praksi dejansko učinkovite pa je drugo vprašanje. Kakorkoli, obstaja velika možnost da gre za FP ali povsem legitimen program. Parsanje log fajla za podobnim vzorcem je dober začetek.

@BlueRunner
Za spam ne dvomim sploh, zelo pa bi ti bil hvaležen za link kjer so navedene možnosti filtriranja "ostale solate"[1] (ISP ni pomemben).

[1] pod "ostala solata" ni mišljen NetBIOS temveč vzorci, ki so navedeni v zgornjem logu, torej opt-out za malformed paketke, port scane, SYN floode...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

V Španiji Telefonica ima nek net safe filter. Ponavadi ga vklopi random.

V praksi filtrira web strani.

Da jaz vem v Sloveniji se blokira samo določene porte (kar podpiram), o SPAM filtrih nisem nikoli slišal.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

Da jaz vem v Sloveniji se blokira samo določene porte (kar podpiram), o SPAM filtrih nisem nikoli slišal
KLIK
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

hvala za info

Ampak kot razumem je to spam lista za mail strežnike. Dokaj irilevanto če nimaš email pri ponudniku.
Poleg tega je to off-topic, ker govorimo o direktnih napadih na IP naslov.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

BlueRunner ::

@denial: Oprosti za malo zakasnel odgovor. Relevantna ponudba T-2 je tukaj. Pri temu moram izrecno poudariti, da T-2 spletnih strani NE FILTRIRA(*), temveč je govora izključno o filtriranju dohodnega IP prometa.

Tudi pri drugih operaterjih ni tehničnih ovir, da bi kaj takšnega ponudili. O razlogih zakaj to počno ali pa ne počno, pa ne bi upal ugibati.

@ABX: Tudi sam sem včasih podpiral blokiranje portov, vendar pa sem s časom ugotovil, da to ne rešuje ničesar, samo navaden lonec iz katerega kipi zamenja z ekonom loncom.

(*) To ne vključuje blesavih in IMNSHO protiustavnih zahtev, ki jih pošilja UNPIS. Te zapadejo pod državno cenzuro in ne samovoljo ISP-ja.

Zgodovina sprememb…

ABX ::

To z T-2 je pravi pristop. Kupec se odloči kakšno varnost si želi pri naročilu paketa.

Jaz podpiram blokiranje portov za Netbios protokola in blokado SMTP porta za dinamične IP-je.
Ne vidim ene prednosti da imaš te porte odprte.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

@BlueRunner
Thanks za link. Vsak dan kaj novega izveš :-) Se strinjam, da je opt-out/in definitivno najboljša izbira.
SELECT finger FROM hand WHERE id=3;


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SMTP promet (strani: 1 2 3 4 )

Oddelek: Omrežja in internet
18118856 (16907) NeMeTko
»

Odkrita ranljivost v Nokia Series60 mobilnih telefonih

Oddelek: Novice / Nokia / Symbian
437714 (5222) poweroff
»

Storm podira rekorde - ponovni naval spama

Oddelek: Novice / Omrežja / internet
384845 (3300) Jst
»

Po menjavi ponudnika problem s pošiljanjem pošte

Oddelek: Omrežja in internet
425429 (4818) Matko
»

V ZDA sprejeli zakon o omejitvi spama

Oddelek: Novice / Zasebnost
123103 (3103) poweroff

Več podobnih tem