שאלת fire wall

[¥splash¥®]

שאלת fire wall

אתמול התקנתי תוכנה כזאת וזה במשך חצי יום רשם 3 ניסיונות פריצה שאלה:ליפני שהיה לי את התוכנה הרי גם ניסו לפרוץ וכלום לא עצר אותם-איך זה שלא היה (כמעט) בעיות של מה שהאקרים יכולים לעשות?!

 

[W0lf]

אם היית נותן לנו פה את הלוג של

הפריצה היינו יכולים להגיד לך האם זו פריצה באמת או Ping. בכל מקרה אם מופיע בלוג משהו עם Udp port אז זה אומר שמנסים לפרוץ לך. אם מופיע לך icmp ping משהו כזה אז שולחים לך פינג או מנסים לפאקט אותך. מקווה שעזרתי וולף

 

[¥splash¥®]

אז ככה-

על הסימן של התוכנה למטה היה מין סימן קריאה כזה והיה את זה פעמיים וכתס שניסו לפרוץ וחסמו את הפריצות ועוד 4 מקרים זה לא אותת לי בשום דרך הנה קובץ מצורף

 

[voguemaster]

יש גם אפשרות

לעשות PING בעזרת UDP, שליחת פקטות של TCP, וכו´...

אלי

 

[asspeedee]

ממש לא

אם אתה מתכוון לPING כמו שאנחנו מכירים אותו אז בהחלט אתה טועה טעות קשה ומרה. PING זה בעצם ICMP ECHO משמו אתה יכול בבירור להבין שפינג הוא חלק מפרוטוקול ICMP וגם הREPLY שייך לICMP אם אתה רוצה לבדוק אם בכתובת אי.פי מסויימת יש מחשב והוא לא עונה לICMP ECHO אתה יכול לשלוח כל מיני סוגים אחרים של ICMP מכיוון שרוב המחשב חוסמים את ICMP ECHO כיום וככה לדעת אם המחשב "חי" אבל ICMP ECHO (פינג) יכול להשלח רק בפרוטוקול ICMP

 

[uzi2]

בד"כ אכן כך, ומצד שני

לפעמים משתמשים ב- traceroute port (פורט 33434) לצורך פינג דרך UDP. לא מאוד נפוץ לפינג, שכן ICMP הוא הפרוטוקול הסטנדרטי לפינג, אבל גם לא יותר מדי נדיר.

 

[¥splash¥®]

זאת ההודעה

 

[uzi2]

Norton Firewall

ההודעות הללו מטעות. היה נסיון להתחבר לפורטים שאם יש לך עכברוש (סוג של סוס טרויאני שפותח דלת אחורית במחשב שלך), אז היה אפשר לפרוץ אליך למחשב. העובדה שניסו, לא אומרת שיש לך עכברוש כזה, ולכן זה גם לא אומר שאם לא היה לך פיירוול אז היו מצליחים. ההודעות של נורטון פיירוול וביחוד העובדה שהוא מגדיר הודעות כאלו כדרגת סיכון גבוהה, הן הודעות מטעות שגורמות לך לחשוב שהפיירוול יותר חשוב ממה שהוא באמת. תוכל לנסות לבדוק האם יש לך עכברוש כזה, ע"י כך שתכבה זמנית את הפיירוול ותקיש ב- "start/run" (או "התחל/הפעל" בהתאם לשפת הממשק של מערכת ההפעלה), את הפקודה: telnet localhost 27374 אם יש לך עכברוש סטנדרטי מהסוג שהיה נסיון להתחבר אליו, אז העכברוש יענה לפקודת ה- telnet שלך. אם לא, אז לא. שוב, כל מה שהפיירוול אומר זה שמישהו ניסה להתחבר מבחוץ למחשב שלך דרך הפורט הזה, בתקוה שיש לך עכברוש שיאפשר לו לחדור. אין בעובדה זו כדי להצביע כי אכן מותקן עכברוש כזה אצלך.

 

[RacerX]

תחקור את הFW קצת יותר

ותגלה שהוא גם אומר לך שזה שאתה רואה את ההודעה זה אומר שכנראה היית חלק מסריקת פורטים. מכיוון ש ה norton FW מסתיר את כתובת ה IP שלך ולא עונה ל ICMP, מי שסורק אותך בכלל לא רואה אותך. אומר שיש לך את ה trojan (בתקווה שיחד עם FW התקנת גם antivirus)

 

[uzi2]

לא הבנתי המשפט האחרון (typo?)

 

[RacerX]

אכן typo

מה שהתכוונתי לומר היה ש "זה ה NIS אומר שניסו לפרוץ לך עם ה trojan לא אומר שיש לך את....."

 

[asspeedee]

עכברוש? WTF?

אתה מדבר על הBACKDOOR של SUB7 שיושב על פורט 27374 וברוב המקרים אם מי ששם את הSUB7 שם יודע מה הוא עושה הוא ישים את זה על פורט רנדומלי עם NOTIFY שברגע ההתחברות ישלח אליו מספר הפורט כך שהמשתמש לא יוכל לגלות על איזה פורט זה יושב ולא יחשוד. קיצר, BS.

 

[uzi2]

לא הבנתי מה אתה רוצה להגיד.

נורטון דיווח לו שהיה נסיון התחברות לפורט הנ"ל. הפורט הנ"ל הוא פורט סטנדרטי של ה- SubSeven. אמת וניתן לשנות את ההגדרות של הפורט שאליו יאזין העכברוש הנ"ל, אבל זה לא רלוונטי למקרה שלנו. הרבה עכברושים מופצים כך שהם מאזינים לפורט הסטנדרטי. בכל מקרה, כל מה שצויין זה שהיה נסיון התחברות. לא שקיים במחשב המדובר משהו שמאזין לפורט הנ"ל.

 

[asspeedee]

ממתי נורטון זה NIDS?

נורטון זה FW לא Network Intrusion Detecion System נורטון בדרך כלל מודיע על חסימה, ולא סתם מראה נתונים. בכל מקרה הפורט הזה ונטבאס וכל התוכנות המאפנות שסקריפט קידדיס משתמשים הם הפורטים שהכי הרבה נסרקים ברשת. אם סרקו אותך שם לא צריך להתרגש יותר מידי.

 

[uzi2]

וגם אף אחד לא טען שנורטון זה NIDS

לחלק מהפיירוולים האישיים יש יכולות (מסויימות) לזהות איזו תוכנה מאזינה לאיזה פורט גם מבלי שנוצר קשר בפועל, אבל במקרה הנדון לא נעשה זיהוי כזה.