scan generic portscan tcp что делать
Обнаруженна сетевая атака. Что делать?
Простой 8 комментариев
Что это и как эту атаку убрать?
Полная проверка ничего не обнаружила.
а как моего узнать откуда идёт атака
Путем анализа пакетов можно узнать IP адрес с которого он был отправлен.
Это все происходит когда интернет с телефона раздаю.
IPv4 будет ходить через NAT сотового оператора, так что оставив IPv4 и убрав IPv6, вы отсечёте львиную долю мяса мамкиных хакеров.
Что такое атаки со сканированием портов и как их избежать
Что такое атаки со сканированием портов
Как только они получат всю возможную информацию, они смогут обнаружить возможные дыры в безопасности и таким образом проводят свои атаки. Они могли получать конфиденциальную информацию от пользователей, знать информацию об операционной системе своего компьютера и т. Д.
Это может быть очень важным точка входа для хакеров. Как мы говорим, оказавшись внутри сети, с этого компьютера они могут украсть информацию, получить доступ к паролям и, в конечном итоге, поставить под угрозу нашу конфиденциальность.
Киберпреступники могут использовать разные инструменты для обнаружения этих уязвимостей. Они также известны как сетевые анализаторы. Примером может быть TCPing, который запускается из Windows командная строка. Но есть и другие более сложные инструменты, такие как Nmap or Zenmap.
Имейте в виду, что существует 65,535 XNUMX портов TCP / IP. Каждый из них может выполнять разные функции. Также, как известно, многие из них могут быть открытыми. С помощью сканирования портов злоумышленник может узнать, какие порты открыты и есть ли какие-либо уязвимости, которые можно использовать. Это можно определить автоматически, анализируя каждый порт по очереди.
Как избежать атак со сканированием портов
Мы видели, что такое атаки со сканированием портов. Теперь мы собираемся объяснить некоторые действия, которые мы можем предпринять, чтобы избежать этой проблемы. Как всегда, у нас есть разные способы предотвратить доступ хакеров к нашей сети и поставить под угрозу безопасность.
Не открывайте больше портов, чем необходимо
Используйте инструменты для проверки открытых портов
Иногда мы действительно не знаем, какие порты у нас открыты, и поэтому не знаем настоящей проблемы. К счастью, мы можем использовать множество инструментов, которые позволяют нам проводить анализ и проверять, какие порты у нас открыты.
Использовать брандмауэр
Существуют также системы обнаружения вторжений, которые мы можем настроить для обнаружения и блокировки опасных попыток подключения и запросов.
Держите команды всегда в курсе
Может существовать множество недостатков в системе безопасности, которые могут быть использованы хакерами для проведения своих атак. Нам всегда нужно иметь все доступные исправления и обновления, чтобы исправить эти проблемы.
В конечном итоге атаки со сканированием портов могут поставить под угрозу безопасность сети. Мы должны принять меры предосторожности, чтобы не разглашать наши данные.
Сетевая атака
Народ, нужна помощь. Имеется локалка ан 30+ тачек, win server2008, KSC и прочие приблуды. С недавних пор с разных локальных и залокальных ip начали идти сетевые атаки Scan.Generic TCP/UDP, а точнее скан портов. Почитал гугл и по его же совету забил, но сегодня появился он. Intrusion.Win.TrackerCam.PHP-ARG.buffer-overflow.exploit (логи Каспера). Гугл ничего толком не говорит, однако, на одном забугорном сайте нашел информацию, что это модификация широкоизвестного kido. Стандартные лечения не помогаю, профилактика каспером положительныых результатов не принесла, что делать? Как эту дрянь вызволить? И ведь ладно бы, если эта хрень сидела спокойно и не давала о себе знать.
На зараженных машинах не работают браузеры, точнее не работают никакие сайты (везде пишет ошибку DNS), притос серв нормально пингуется в обе стороны. Команда ping показывает что инета нет, но. Работает skype (принимает/оптправляет сообщения), работает трассировка, правда на 5-6 скачке проваливается. В общем, есть 2 дня (выходные) для решения проблемы 
Сетевая атака KIS
Добрый вечер, помогите пожалуйста, KIS выдает сообщение, сетевая атака, что делать. Спасибо.
Атака вирусом
Добрый день!Перестал обновляться антивирус и самопроизвольно открываются разные вкладки в опере.
Атака браузеров
День добрый) Подхватила вредный вирус, никак не могу побороть проявляется в следующем 1.
Вирусная атака
Помогите почистить комп от заразы Комп заражен вирусом. создает файлы *.scr и *.exe
Анализ атак с использованием сканирования портов
Сканирование портов — это предварительная процедура, наиболее часто используемая киберпреступниками для определения уязвимых узлов, которые можно успешно атаковать. Этот полностью автоматизированный процесс также позволяет обнаружить машины, серверы и периферийные устройства, существующие в конкретной сети.
Введение
Успешное сканирование портов позволяет получить сведения о машинах, обнаруженных в прощупываемой сети, включая имена устройств, IP-адреса, операционные системы, запущенные программы и службы, имена пользователей, группы и открытые порты. Сканирование обычно выполняется до начала атаки (как пример, Direct-to-Origin). Существует четыре различных подхода к сканированию сетевого порта, поговорим подробнее о каждом из них.
Способы сканирования
Горизонтальное сканирование
При горизонтальном сканировании злоумышленник просматривает один и тот же порт на нескольких компьютерах, то есть несколько IP-адресов. Атакующий стремится найти хосты, раскрывающие определенные сервисы. Таким образом хакер сканирует определенные порты на всех машинах, разные IP-адреса в пределах определенного диапазона.
Горизонтальное сканирование представляет собой наиболее часто используемый в настоящий момент тип сканирования портов.
Вертикальное сканирование
Вертикальным сканированием называют процесс, при котором злоумышленник сканирует несколько портов на одном компьютере, то есть один IP-адрес.
Распределенное вертикальное сканирование
При распределенном вертикальном сканировании несколько источников последовательно сканируют несколько портов на одном IP-адресе.
Распределенное горизонтальное сканирование
В этом случае несколько источников сканируют один и тот же порт на нескольких IP-адресах последовательным образом. Во время распределенного сканирования часто меняются IP-адреса злоумышленников, что делает их обнаружение довольно сложной задачей.
Рисунок 1. Схема сканирования портов
Распределенное вертикальное сканирование и распределенное горизонтальное сканирование часто ассоциируются с атаками, выполняемыми несколькими злоумышленниками (или группами), что представляет собой одну из самых современных форм атак. Совместные атаки иногда описываются как «кибератаки следующего поколения».
Недавно опубликованное исследование представило новый подход, который помогает обнаружить сканирование портов, он основан на графическом моделировании. Создатели нового подхода применили свой метод к данным, полученным из darknet.
Методы обнаружения сканирования портов
Как показало исследование, атаки с использованием горизонтального сканирования являются наиболее распространенными, на них приходится 80% трафика сканирований. Новый метод обнаружения основан на отслеживании поведения, характерного для таких атак.
Этот подход позволяет контролировать все возможные порты UDP и TCP, предупреждения появляются, если обнаруживается состояние, отличающееся от обычного состояния портов. Весь алгоритм основывается на индексе, известном как BH-tree, который был введен в 2013 году для ускорения процессов обучения и обнаружения и оказался чрезвычайно эффективным.
Эксперименты, проведенные разработчиками нового подхода, в ходе которых использовались данные, полученные из реального darknet-трафика, показали, что предлагаемый метод не только эффективен, но и быстро работает.
Несмотря на то, что исследование было сосредоточено именно на атаках с распределенным сканированием, в ходе которых несколько источников атакуют один и тот же порт на нескольких целевых компьютерах или IP-адресах, этот подход можно легко настроить для мониторинга атак, при которых несколько источников атакуют несколько портов на нескольких целевых машинах или IP-адресах.
Выводы
Изучив атаки, использующие сканирование портов, мы можем прийти к выводу, что необходимо провести дополнительные исследования, чтобы проанализировать методы, позволяющие обнаруживать такие атаки. Чем больше будет использовано машинное обучение, тем лучше, так как настроить мониторинг на обнаружение аномального поведения на портах несложно.
6. Защита от сканирования портов
Защита от сканирования портов
В табл. 2.2 приведен перечень различных популярных утилит сканирования, а также типы сканирования, которые эти утилиты позволяют выполнять.
Контрмеры: защита от сканирования портов
Выявление факта сканирования
Как правило, взломщики прибегают к сканированию TCP- и UDP-портов удаленного компьютера, чтобы установить, какие из них находятся в состоянии ожидания запросов. Поэтому выявить факт сканирования — значит, установить, в каком месте и кем будет предпринята попытка взлома. Основные методы выявления факта сканирования состоят либо в использовании специальной программы, предназначенной для выявления вторжений на уровне сети (IDS), такой как NFR, либо в использовании механизма защиты на уровне отдельного узла.
Таблица 2.2. Популярные утилиты сканирования портов и их возможности
Метод UDP-сканирования утилиты netcat не работает в операционной системе Windows NT, поэтому пользователям этой ОС не стоит доверять полученным результатам.
Для выявления попыток сканирования портов можно также воспользоваться утилитой snort ( www.snort.org ) (см. также http://spyjurenet.com/linuxrc.org/projects/ snort/ ). Как вы могли догадаться, эта утилита является одной из предпочитаемых нами программ IDS (заметим, что ее версии 1.x не позволяют обнаруживать фрагментацию пакетов). Вот пример листинга, содержащего данные о попытке сканирования портов.
[**] spp_portscan: PORTSCAN DETECTED from 192.168.1.10 [**]
05/22-18:48:53.681227
[**] spp_portscan: portscan status from 192.168.1.10: 4 connections
across 1 hosts: TCP(O), UDP(4) [**]
05/22-18:49:14.180505
[**] spp_portscan: End of portscan from 192.168.1.10 [**]
05/22-18:49:34.180236
Для платформы UNIX существует немало утилит, таких, например, как Утилита: scanlogd ( http://www.openwall.com/scanlogd/ ) компании Solar Designer, которые выявляют и регистрируют попытки сканирования. Кроме того, утилиту Psionic PortSentry, созданную в рамках проекта Abacus ( http://www.psionic.com/abacus ), можно настроить не только на регистрацию, но и на принятие контрмер при выявлении факта активного сканирования. Один из способов борьбы с попытками сканирования портов заключается в автоматической установке для ядра правил фильтрации, когда к уже существующим добавляется новое правило, запрещающее доступ со стороны узла-нарушителя. Такое правило можно задать в конфигурационном файле утилиты PortSentry. При этом одно и то же правило может отличаться в различных системах. Для системы Linux 2.2.x, в которой имеется поддержка ядра брандмауэра, в файл portsentry.conf нужно добавить запись, аналогичную следующей.
Утилита PortSentry совместима с большинством версий UNIX, включая Solaris. Независимо от того, применяете ли вы какие-либо утилиты или нет, необходимо помнить, что массированные попытки сканирования портов, инициируемые каким-либо узлом или какой-нибудь сетью, могут означать, что кто-то изучает вашу сеть. Всегда обращайте самое пристальное внимание на такие действия, поскольку за ними может последовать полномасштабное вторжение. И наконец, не забывайте о том, что имеется возможность активного противостояния или блокирования попыток сканирования портов. Все эти вопросы рассматриваются в статье, опубликованной компанией Solar Designer ( http://www. openwall.com/scanlogd/P53-13.gz ). В этой статье содержатся дополнительные советы по разработке и использованию систем выявления попыток сканирования.
Большинство брандмауэров не только могут, но и должны настраиваться на режим обнаружения попыток сканирования. Однако одни брандмауэры справляются с этой задачей лучше, другие хуже. Например, некоторые брандмауэры умеют выявлять скрытое сканирование. Однако многие из них, поддерживая режим выявления SYN-сканирования, абсолютно игнорируют FiN-сканирование. Самой большой проблемой при выявлении факта сканирования является задача анализа огромных системных журналов, накапливаемых при ежедневной работе серверов сети. Для упрощения решения этой задачи можно воспользоваться утилитой Psionic Logcheck ( http: //www.-psionic.com/abacus/logcheck/ ). Кроме того, мы рекомендуем настроить утилиты таким образом, чтобы они реагировали на обнаруженные попытки сканирования в реальном времени, отсылая сообщения по электронной почте. Везде, где это только возможно, устанавливайте пороговые значения для количества регистрируемых событий (threshold logging), чтобы взломщик не завалил ваш почтовый ящик грудой сообщений, в которых будет так же трудно найти информацию, как и в системных журналах. Кроме того, в этом случае может также возникнуть условие DoS. При использовании пороговых значений все предупреждения будут группироваться, а не обрабатываться по одному. Как минимум необходимо настроить систему безопасности на выдачу отчетов о самом факте выявленной попытки сканирования. Для брандмауэра Firewall-1 с этой целью можно использовать утилиту Ланца Спитцнера (Lance Spitzner) alert, sh ( http://www. enteract.com/
lspitz/intrusion.html ). Эта утилита будет выявлять и отслеживать попытки сканирования портов, работая под управлением Firewall-1 в качестве средства защиты, заданного пользователем.
Для платформы Windows NT также имеется несколько утилит, предназначенных для выявления попыток сканирования. Прежде всего, необходимо отметить такую утилиту, как Genius 2.0, разработанную компанией Independent Software ( http://www. indiesoft.com ) для платформ Windows 95/98 и Windows NT. Этот программный продукт предоставляет гораздо больше возможностей, чем простое средство обнаружения TCP-сканирования портов. Однако необходимо отметить, что даже с учетом этого, имеет смысл его использовать. Утилита Genius отслеживает многочисленные запросы к открытым портам и при обнаружении попыток сканирования отображает на экране предупреждающее диалоговое окно, в котором содержится IP-адрес взломщика и доменное имя его узла.
Утилита Genius позволяет выявлять как попытки обычного сканирования, т.е. с установлением TCP-соединения, так и SYN-сканирования.
Еще одним детектором сканирования для системы Windows, заслуживающем отдельного упоминания, является программа BlackICE (рис. 2.7) компании Network ICE ( http://www.-networkice.com ). Данная программа представляет первое основанное на использовании агентов средство выявления вторжений, которое можно использовать как в Windows 9х, так и в NT. В момент написания данной книги этот программный продукт был коммерческим, хотя в ближайшем будущем компания обещает подготовить свободно распространяемую версию. И наконец, программа ZoneAlarm ( http://www.zonelabs.com/zonealarm.htm ) хорошо подходит для платформы Windows и может применяться в качестве средства IDS на уровне брандмауэра.
Рис. 2.7. Кроме обнаружения обычного TCP-сканирования портов, программа BlackICE может выявлять также VDP-сканирование, запросы на открытие нулевых сеансов NT, pir.q-прослушивание с помощью пакета pcAnywhere, попытки взлома с помощью WinNuke, множественные запросы, применение утилиты tracerovte, Smurf-взломы и многое другое
Вряд ли можно помешать кому-либо предпринять попытку сканирования портов на вашем компьютере, однако вполне реально свести к минимуму связанный с этим риск. Для этого нужно заблокировать все службы, в работе которых нет необходимости. В среде UNIX данная задача решается с помощью добавления символов комментария в соответствующие строки файла /etc/inetd. corif, а также отключения автоматического запуска ненужных служб в сценарии начальной загрузки. Более подробно эти вопросы освещены в главе 8, «Хакинг UNIX».
В системе Windows NT также целесообразно отключить все ненужные службы. Однако сделать это сложнее, поскольку из-за сетевой архитектуры Windows NT по крайней мере Порт 139 должен работать постоянно. Тем не менее, остальные службы можно отключить, запустив аплет Services панели управления. Способы нарушения безопасности системы Windows NT и контрмеры, которые можно предпринять для их предотвращения, более подробно будут рассмотрены в главе 5. Здесь же стоит упомянуть о том, что компанией Tiny Software ( www.tinysoftware.com ) распространяется модуль ядра, позволяющий выполнять фильтрацию входящих пакетов. С помощью этого модуля можно защитить большинство важных портов.
Что же касается других операционных систем и устройств, то нам остается лишь посоветовать как можно внимательнее прочитать соответствующие справочные руководства. Постарайтесь найти в них информацию о том, какие порты вам действительно необходимы и как отключить остальные, чтобы свести риск к минимуму.
Активное определение операционной системы
Итак, мы убедились, что существует множество различных приемов и средств сканирования портов. Вспомните, что при сканировании портов преследуется две основные цели. Во-первых, нужно установить, какие TCP- и UDP-порты на исследуемом компьютере находятся в состоянии ожидания запросов. Во-вторых, необходимо определить тип операционной системы, используемой на удаленном узле. Информация об операционной системе понадобится на последующих этапах, при составлении схемы уязвимых участков. Об этом речь пойдет в последующих главах. Важно помнить, что при этом необходимо быть особенно точным и внимательным к мелочам. Именно поэтому очень важно абсолютно правильно установить тип удаленной операционной системы. При определении типа ОС очень полезной оказывается косвенная информация, получаемая, например с помощью сбора маркеров, о которых мы поговорим в главе 3. При этом будет собрана информация о таких службах, как FTP, telnet, SMTP, HTTP, POP и других. Сбор маркеров — это один из самых простых методов определения типа операционной системы, а также версий работающих под ее управлением служб. Нетрудно догадаться, что существуют различные средства, призванные помочь в решении этой задачи. Среди доступных можно отметить две утилиты, позволяющие получить самые точные результаты, — уже хорошо нам известная nmар и утилита queso. Точность результатов, выдаваемых обеими утилитами, объясняется, прежде всего, тем, что обе они предоставляют возможность исследования стека протоколов TCP/IP (stack fingerprinting).