Народ! Подскажите как бороться с компанией X (IP 212.82.212.198), которая регулярно сканирует порты на моей машине. Улетает на это по несколоко Mb в сутки. Обращение к ISP и фирме продавшей им доменное имя (register.com) результата не принесло :(
>Народ! Подскажите как бороться с компанией
>X (IP 212.82.212.198), которая регулярно
>сканирует порты на моей машине.
>Улетает на это по несколоко
>Mb в сутки. Обращение к
>ISP и фирме продавшей им
>доменное имя (register.com) результата не
>принесло :(
если UNIX ставь Portsentry проблема исчезнет
>
>если UNIX ставь Portsentry проблема исчезнет
>
Какое преимущество у Portsentry перед настроенным ipchains? ipchains их никуда не пускает, но на каждую попытку сканирования одного моего порта уходит 60 байт траффика. Вроде немного, но в сумме за сутки набегает порядочно.
Насколько я понял, от сканов Вы избавились с помощью ipchains (ну или любого друго фильтра). Осталась проблема - вход трафик при сканировании.
Увы, выход я вижу один - traffic shaper на данную сеть/узел/узлы. Лучше всего конечно делать это на cisco (traffic-shaper), если вы через нее подключены к провайдеру. Если же нет (или нет к ней доступа) - use cbq (пакет iproute2 + ядро собрать с соответств. функциями).
>Насколько я понял, от сканов Вы
>избавились с помощью ipchains (ну
>или любого друго фильтра). Осталась
>проблема - вход трафик при
>сканировании.
>Увы, выход я вижу один -
>traffic shaper на данную сеть/узел/узлы.
>Лучше всего конечно делать это
>на cisco (traffic-shaper), если вы
>через нее подключены к провайдеру.
>Если же нет (или нет
>к ней доступа) - use
>cbq (пакет iproute2 + ядро
>собрать с соответств. функциями).Все чем я могу крутить это модем на моей стороне выделенки (вкл/выкл ;). Обращение к провайдеру ничего не дает. А что даст cbq ?
>Народ! Подскажите как бороться с компанией
>X (IP 212.82.212.198), которая регулярно
>сканирует порты на моей машине.
>Улетает на это по несколоко
>Mb в сутки. Обращение к
>ISP и фирме продавшей им
>доменное имя (register.com) результата не
>принесло :(Попробуй написать на doka@kiev.sovam.com (если это действительно 212.82.212.198), у них твои сканнерщики видимо арендуют диапазон адресов.
Хорошо бы добавить в письмецо:
1. The Traceroute/whois log
2. The Main window log
3. Your time zone
4. The date this took place
Тут мысль пришла в голову.Могу-ли я перенаправить запрос на сканирование отправителю? Тоесть что-бы они сканировали сами себя.
>Тут мысль пришла в голову.Могу-ли я
>перенаправить запрос на сканирование отправителю?
>Тоесть что-бы они сканировали сами
>себя.1. Если это не заспуфленый адрес, то обязательно
отправить письмо ответственному за этот блок- если ответ от регистраторов и держателей
этих сетей НЕ ПРИШЕЛ, завернуть скан на их
самих(понятно что это крайний случай)unix1> whois -h unix1.jinr.ru 212.82.212.198
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.htmlinetnum: 212.82.212.192 - 212.82.212.223
netname: COLOCATION-SOVAMNET
descr: This is a Svit-On-Line internal network
country: UA
admin-c: DOKA1-RIPE
tech-c: TVF1-RIPE
status: ASSIGNED PA
notify: security@svitonline.com
mnt-by: SOVAMUA-MNT
changed: tanya@svitonline.com 20010511
source: RIPEroute: 212.82.192.0/19
descr: Svitonline Network
origin: AS12530
mnt-by: SOVAMUA-MNT
changed: doka@kiev.sovam.com 20001103
source: RIPEperson: Vladimir Litovka
address: 14/16, Lebedeva-Kumacha St.
address: Kiev, 03058, Ukraine
phone: +380 44 4900111
fax-no: +380 44 4906090
e-mail: doka@svitonline.com
nic-hdl: DOKA1-RIPE
notify: doka@kiev.sovam.com
mnt-by: GTNET-MNT
changed: doka@kiev.sovam.com 20000718
source: RIPEperson: Tatyana Forsyuk
address: Golden Telecom
address: 9 Leontovicha Str.
address: Kiev, Ukraine
phone: +380 44 4900111
fax-no: +380 44 4900111
e-mail: tanya@svitonline.com
remarks: Please send abuse notification to abuse@svitonline.com
nic-hdl: TVF1-RIPE
notify: tanya@svitonline.com
mnt-by: SOVAMUA-MNT
changed: tanya@svitonline.com 20010919
source: RIPEвидим что это солидные ребята, я уверен что
ребята ответят и примут меры, еще и будут
благодарны.2. Отписать в соответствующие органы CERT
3. Отписать в security mail-list'ы
>Тут мысль пришла в голову.Могу-ли я
>перенаправить запрос на сканирование отправителю?
>Тоесть что-бы они сканировали сами
>себя.
B Portsentry есть возможность ответных действий, например посылка нюка в ответ на сканирование.
>B Portsentry есть возможность ответных действий,
>например посылка нюка в ответ
>на сканирование.Может-ли Portsentry работать совместно с ipchains или ipchains надо выключать?
>>B Portsentry есть возможность ответных действий,
>>например посылка нюка в ответ
>>на сканирование.
>
>Может-ли Portsentry работать совместно с ipchains
>или ipchains надо выключать?Насколько я понимаю (могу и ошибаться), все порты не должны быть закрыты ipchains, во всяком случае
можно попробывать оставить открытыми с 1 по 9 и
137-139 если нет виндозных шар.
http://www.linuxrsp.ru/artic/portsentry.html
Так всетаки как заставить их сканерить самих себя?
>Так всетаки как заставить их сканерить
>самих себя?тут же гуру уже писал :)
unix1> whois -h твой.хост.ru 212.82.212.198
>>Так всетаки как заставить их сканерить
>>самих себя?
>
>тут же гуру уже писал :)
>
>unix1> whois -h твой.хост.ru 212.82.212.198сорри, это не то :(
>Так всетаки как заставить их сканерить
>самих себя?а подумать?
в крайнем случае поискать в security-mail
list'ах и архивах, там все есть, расписывать
сие открытым текстом - не есть good.(обычно весь трафик ip-scan -> my-ip заворачивается ровно взад my-ip -> ip-scan)