| Autore |
 Discussione  |
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 25/01/2005 : 01:10:48
|
qualcuno sa cos'è la porta TCP 18844? Oggi Outpost mi ha rilevato una marea di attacchi su questa porta. Perchè sempre e soltanto quella?
Grazie
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 25/01/2005 : 08:31:17
|
Secondo l'IANA, la porta 18844 non e` associata a nessun protocollo particolare e anche da un veloce ricerca in rete non ho tratto informazioni aggiuntive.
Forse, ma dico forse, se hai un ip dinamico, quello che ce l'aveva prima aveva un programma di file-sharing dietro quella porta. Questa e` solo un'ipotesi, pero`.
Non e` che outpost ti da qualche informazione in piu` su questi tentativi di connessione (non direi attacchi, meglio parlare di tentativi di connessione). |
 |
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 26/01/2005 : 01:33:13
|
Ok. E' una spiegazione più che plausibile.
Allora se si tratta di tentativi di connessione, i veri e propri attacchi quali sono? Quelli che indica: "Port scanned"?
25/01/05 23.02.29 Port scanned 69.59.164.204 UDP(1027) UDP(1026)
e questo log che vuol dire?
25/01/05 22.42.59 My address 127.0.0.1
Grazie mille e complimenti!
|
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 26/01/2005 : 01:38:31
|
E poi: va bene spuntare in Outpost le caselle "Block intruder's IP for ... minutes"
e "Also block intruder's subnet mask" ?
Le uniche che non ho spuntato sono:
"Block local port if DOS attack detected"
e "Block all traffic for ... minutes"
Ciao e grazie ancora.
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 26/01/2005 : 08:33:42
|
Io outpost non lo uso, in quanto uso le iptables sotto linux. Quindi non ti so dire se quello che hai spuntato o meno va bene.
A parte questo, generalmente un attacco segue alcuni passi specifici: prima si guarda che porte sono aperte e quali chiuse, cercando di capire anche che tipo di sistema operativo c'e` dietro (se un linux, un windows, un bsd, un solaris, un mac, ...). Una volta scoperto cio`, si cerca di capire che programmi ci sono dietro alle porte aperte, in modo da vedere se sono note vulnerabilita` da sfruttare.
Quindi, un tentativo di connessione verso una porta alta (oltre la 1024) a cui non e` associato nulla, in genere, non rappresenta un attacco ma un semplice tentativo di connessione.
Poi, se la porta e` sempre quella e non e` la preferita di qualche worm noto (vedi le porte tcp 135 e 445), io propenderei per la spiegazione che ti avevo dato nel precedente post.
La riga con il 127.0.0.1 e` troppo povera di informazioni per poter trarre qualche conclusione. |
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 26/01/2005 : 10:43:36
|
Ok, grazie. Almeno inizio a capirci qualcosa in più...
Dove posso trovare descrizioni sulle porte e sui protocolli associati? Hai parlato di IANA, mi sembra... Mi daresti il link?
Ciao e grazie.
|
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 26/01/2005 : 10:50:00
|
Outpost mi ha segnalato in due momenti distinti il tentativo di WinWord di effettuare un'operazione in uscita dal sistema verso l'indirizzo:
customer-reverse-entry.69.59.164.204
e verso l'indirizzo:
pcp593642pcs.dksnco01.tn[.com]cast.net
Io ho bloccato il tutto perchè mi sembrava sospetto.
Potevano essere attacchi, visto che non stavo usando affatto Word?
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 26/01/2005 : 11:17:54
|
IANA lo trovi facilmente con google. Il primo link e` quello della home, il secondo quello dei numeri di porta.
I tentativi di connessione in uscita non sono attacchi. Quello che potrebbe essere accaduto e` che tu abbia office che parte in automatico e spara informazioni in giro per il mondo, oppure un altro processo (come qualche worm o trojan) che si spaccia per winword. In ogni caso, hai bloccato e questo e` sufficiente. |
|
|
|
tequila_bum
Advanced Member
263 Messaggi |
Inserito il - 26/01/2005 : 12:16:44
|
il discorso del blocco delle porte se viene scovato un DOS attack che al contrario di quello che puoi pensare è un Attacco Denial of Services lo attiverei...
Per i lresto mi sembri apposto...fino a quando il tuo firewall logga vuol dire che funziona e che sei "al sicuro"...il problema è quando nn rileva niente ma ai me per te quando ti accorgi è ormai troppo tardi!!!
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 26/01/2005 : 13:57:43
|
| Un DOS puo` essere fatto solo verso un servizio attivo, rendendolo inutilizzabile per troppo carico. Se tu blocchi le connessioni prima che arrivino al servizio, non puoi avere un DOS. Al limite hai una saturazione della banda entrante, ma in questo caso anche con un firewall non puoi fare nulla, visto che i firewall operano dopo che il pacchetto e` uscito dal cavo. |
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 26/01/2005 : 23:46:10
|
Grazie ad entrambi!
Potreste tradurre l'ultimo post per i "comuni mortali"?
Ciao!
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 27/01/2005 : 08:52:16
|
Un DoS (Denial of Service) e` un attacco portato verso un server che consiste nel sovraccaricarlo di richieste ravvicinate (che singolarmente sono regolari) in modo da renderlo inutilizzabile in quanto intasato di richieste che non riesce ad evadere. I server che servono pagine statiche sono meno sensibili di quelli dinamici a questo tipo di attacco, a parita` di prestazioni.
Per quanto riguarda la banda, se hai una adsl a 640k, in teoria piu` di 640k bits al secondo non puoi ricevere. Quindi se hai troppe richieste, queste occupano tutta la banda disponibile, rallentando o impedendo altro traffico in ingresso. Questa situazione non e` risolvibile da un firewall, in quanto questo si trova dopo (o dentro) il modem, ma la parte intasata e` il filo che arriva al modem. |
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 27/01/2005 : 10:27:36
|
Ok: è più chiaro...!
Come avrete visto, sto cercando di capire i messaggi del mio firewall che finora ho ignorato.
L'ultimo mi diceva che Internet Explorer tentava una connessione all'esterno verso il solito:
customer-reverse-entry.69.59.164.204
attraverso la porta UDP:3129.
Ovviamente (...) l'ho bloccato, ma andando sul sito dell'IANA, ho trovato che questa porta corrisponde a:
netport-id 3129/udp NetPort Discovery Port
# P.T.K. Farrar <farrarp teccon.co.uk>
E questo che vuol dire?
|
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 27/01/2005 : 10:37:11
|
Ah, dimenticavo...
Quando creo la regola per Outpost, posso spuntare le caselle:
Allow it
Deny it
Reject it
Ovviamente se voglio bloccare, non spunterò la prima, ma che differenza c'è tra deny it e reject it?
|
|
|
|
antomaiz
New Member
Città: Bari
49 Messaggi |
Inserito il - 27/01/2005 : 10:40:05
|
Che p.lle!!!!!!!!!!!!!
Adesso mi chiede una connessione in ingresso:
27/01/05 10.39.38 Connection request 195.20.189.129 UDP(1027)
Ho spuntato: reject it.
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 27/01/2005 : 11:15:41
|
Cercando in rete, ho trovato che la porta 3129 e` quella usata anche dal trojan Masters Paradise. Non so se e` il tuo caso, meglio se controlli.
Il Reject indica che il pacchetto viene bloccato ma si comunica al mittente che la porta e` aperta ma non c'e` nessuno dietro in ascolto. Il deny indica che il pacchetto viene buttato senza dire nulla al mittente. Con questa informazione (non torna indietro nulla), e` possibile supporre la presenza di un firewall, cosa che con il reject e` molto piu` difficile da ottenere. Certo, con il reject si perde banda in uscita. |
|
|
|
Discussione |
|
TCP 18844
Forum Bloccato
