[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Skanowanie portow

On Mon, 18 Nov 2002, Jakub Ambrożewicz wrote:

> Same warunki: uważasz, ewentualnego. Zatem to tylko przypuszczenie,
> zatem o niczym nie przesądza, zatem reagowanie w jakikolwiek sposób poza
> ewentualnym mailem z pytaniem "czemu skanujesz" jest bezpodstawne i
> równa się strzelaniu do przechodniów, którzy przechodzą obok twojego
> samochodu "bo któryś może być złodziejem". A że niektórzy nie są? Jakieś
> ofiary mogą być?

W tej konkretnej sprawie pewnym mozna byc tylko po dokonaniu wlamania - a
ja wole do niego niedpuscic (utrudnic je) - wiec reaguje.
Jakiekolwiek zezwolenie, lub olanie skanowania portow uwazam za ... duze
nieporozumienie, i zle pojmowane obowiazki.

> >
> > W dalszym ciągu nie widzisz różnicy pomiedzy wejściem na strone a
> > przeskanowaniem maszyny na obecnosc otwartych portów ?
> > No to ja ci już nic nie wytłumacze.
> Otwarcie strony www zapoczątkowywane jest przez otwarcie połączenia z
> portem. Skanowanie to otwarcie połączenia z portem. Widzisz analogię? Na
> tej właśnie podstawie twierdzę że nie ma różnicy.

Otwarcie strony nastepuje na ustalonyum porcie - skan kilku tysiecy portow
na pewno nie nazwe "przeglądaniem witryny".

> Co to ma do rzeczy? Mówisz że musisz sprawdzać czy ktoś kogoś w sieci
> nie skanuje? Jak? Podsłuchując transmisję? Czy ufając logom, które mogę
> sobie w edytorze napisać i wysłać ci pocztą? Albo logom, które na
> spoofowanie są mało odporne?

Wysyłasz logi, dokładna data h:m - porównuje z logami na maszynach i
ruterach - zgadzaja sie - masz racje, nie zgadzaja się - olewam
doniesienie.
Proste, łatwe i przyjemne.

> >
> > Wybacz, ale jesli w przeciągu 12 godzin widze .. powiedzmy 5.000 prób
> > połączen z jednego adresu na porty 1-32000 - uważam to za ewidentny skan.
> >
> "Chciałem sprawdzić czy coś udostepniasz na ftp'ie a nie wiedziałem na którym
> porcie u ciebie działa" zamyka ci usta?

nie - wręcz przeciwnie - zaczynają się śmiać...
Podobnego (i rownie bezsensownego) tłumaczenia jeszcze nie widzialem.

> >
> > Kwestia wspólpracy administratorów po drodze - dotychczas nie mialem
> > żadnego probemu.
> Jakie po drodze? Zmieniam sobie w twojej lokalnej sieci hwaddr (załóżmy
> najpopularniejszy ethernet), ip skanuję, zmieniam na powrót i jak do
> mnie trafisz?
>

Nie będę wdawał się w budowe sieci, ale uwierz mi - jesli użytkownik z
mojej sieci coś skanował, to ja moge to sprawdzic.
Spoffowanie ip - straci siec, pakiety sie gubia, nic do niego nie dosciera
i nie wychodzi.
(btw - chcialbym zobaczyć skanning ze spoofowanym IP - chyba że
rozmawiamy o dwóch róznych rzeczach.)
Zmiania maca - identycznie - automatyczny brak sygnalu.

Huh, daleko nie szukajac :

Nov 18 13:34:30 SRC=195.158.148.27 DST=xxx.xxx.xxx.12 PORT=22
Nov 18 13:34:33 SRC=195.158.148.27 DST=xxx.xxx.xxx.13 PORT=22
Nov 18 13:34:35 SRC=195.158.148.27 DST=xxx.xxx.xxx.14 PORT=22
Nov 18 13:34:39 SRC=195.158.148.27 DST=xxx.xxx.xxx.15 PORT=22
Nov 18 13:35:12 SRC=195.158.148.27 DST=xxx.xxx.xxx.16 PORT=22
Nov 18 13:35:22 SRC=195.158.148.27 DST=xxx.xxx.xxx.17 PORT=22
Nov 18 13:35:31 SRC=195.158.148.27 DST=xxx.xxx.xxx.18 PORT=22
Nov 18 13:35:40 SRC=195.158.148.27 DST=xxx.xxx.xxx.19 PORT=22
Nov 18 13:35:51 SRC=195.158.148.27 DST=xxx.xxx.xxx.20 PORT=22
Nov 18 13:36:09 SRC=195.158.148.27 DST=xxx.xxx.xxx.21 PORT=22
Nov 18 13:36:16 SRC=195.158.148.27 DST=xxx.xxx.xxx.22 PORT=22

itd itd az do bcasta

Rozumiem że to też niewinna ciekawość ?


--
Kowalski Paweł
argail@histeria.pl | argail@ats.pl
Reply to: