Re: Skanowanie portow
On Mon, 18 Nov 2002, Jakub Ambrożewicz wrote:
> On 11/18/02 2:00 PM, Pawel Kowalski wrote:
> >
> > W tej konkretnej sprawie pewnym mozna byc tylko po dokonaniu wlamania - a
> > ja wole do niego niedpuscic (utrudnic je) - wiec reaguje.
> > Jakiekolwiek zezwolenie, lub olanie skanowania portow uwazam za ... duze
> > nieporozumienie, i zle pojmowane obowiazki.
> Ja także, ale nieporozumieniem jest atakowanie z wyprzedzeniem. Owszem,
> zablokowanie dostępu hostowi do _mojego_ komputera jest ok, bo to mój
> komputer. Poinformowanie, albo zapytanie dlaczego również jest ok. Ale
> np. odcięcie dostepu do internetu "bo coś mi się wydaje, że coś chcesz
> zrobić" jest na tyle subiektywne i bezpodstawne, że nie może mieć
> miejsca.
Nie bo mi sie wydaje - bo mam dowod.
Generalnie jeszcze nigdy nie bylem zmuszony do tego, zazwyczaj skutkuje
telefon - dana osoba jest na tyle przerazona, iż zrobiła by wszystko byle
tylko nie stracić łąćza/nie mieć konsekwensji.
> > Otwarcie strony nastepuje na ustalonyum porcie - skan kilku tysiecy portow
> > na pewno nie nazwe "przeglądaniem witryny".
> Prawo, żeby działało musi mieć dokładnie określone: ile, w jakim czasie
> itd. itp. Inaczej skąd będziesz wiedział, że robisz rzecz nielegalną?
> A o ile wiem, w polskim prawie takiej definicji spoofowania nie ma. To
> tak jakbyś próbował wrzucić do umowy z kientem słowo "netykieta" - co to
> jest? wg. której strony i czyjej definicji. Takimi argumentami "na oko"
> można się posługiwać tylko w rozmowach prywatnych niestety.
To nie jest na oko.
Ja WIEM że jesli mam kilka tysiecy połączen z jednego adresu na zakres
1/64000 portow konkretnej maszyny to jest to EWIDENTNY skan.
Jest jeszcze wiele innych przesłanek, ktore widać dopiero po obserwacji
logow z, dajmy na to, 2/3 dni.
Generalnie - normalna osoba/serwer nie nawiazuje kilku tysiecy polaczen w
odstepach sec/min z jednego adresu czy tez klasy.
> > Zmiania maca - identycznie - automatyczny brak sygnalu.
> Zakładasz że wszystkie komputery są zawsze online? W sieci osiedlowej
> niestety tak nie ma, więc bez problemu można podszyć się pod kogoś
> kto akurat ma wyłączony komputer.
Nawet JESLI (co bylo by ciezkie) to dzieki budowie sieci jestem w stanie
ograniczyć krag do max 5 osob (pojedynczy segment)
Później pozostaje dokladna obserwacja logow, kilka telefonow, porownanie
tego co sie uslyszało z tym co widze w logach - i winny jak na talerzu.
A jako że każdy podpisał regulamin w którym jak byk jest napisane iż można
utracić siec powodując zakłócenia w dostepie innym osobom - a samowolna
podmiana ip + mac do tego nalezy - dziekujemy za wspołprace.
>
> > Nov 18 13:36:16 SRC=195.158.148.27 DST=xxx.xxx.xxx.22 PORT=22
> >
> > itd itd az do bcasta
> >
> > Rozumiem że to też niewinna ciekawość ?
> A czego dowodzi? Z kolejnych głupich tłumaczeń (jeśli to tylko
> skan, a nie początek bezpośredniego ataku na port): "chciałem
> sprawdzić kto ma ssh, bo szukam szelowego konta" Jak udowodnisz
> mu że chciał się włamać?
Ale tu nie chodzi o głupie tłumaczenia - tu chodzi o zamiar.
Ja NIKOMU nie musze nic udowadniac, po prostu adres trafia do DROP.
Bo widzisz ... ja nie musze sie domyslać, że może był ciekaw.. a może robi
statystyke... a może chciał tylko zajrzec i nic wiecej.. poczekam, bo nic
zklego nie robi, dopiero jak sie wlamie to zrobi ....
Ja WIEM ze to scanSSH, i wiem co mam z tym zrobic.
NA tym polega roznica.
--
Kowalski Paweł
argail@histeria.pl | argail@ats.pl
Reply to: