| Autore |
 Discussione  |
|
|
Nike
New Member
36 Messaggi |
 Inserito il - 04/09/2005 : 00:06:58
|
Intanto salve a tutti.. è un pò che vi leggo a sprazzi e mi sembra un bel ma soprattutto utile forum  ... vorrei porre una domanda sperando che non sia stata fatta e rifatta e che voi non vi stufiate a rispondermi... non mastico molto di protezioni e sicurezza (purtroppo ) ma ho qualche nozione in mente sparsa qua e la.. come si può fare a capire se stiamo subendo un tentativo di intrusione da parte di qualcuno nel ns pc? quali sono i segnali? è possibile "monitorare" l'intruso? l'invio di pacchetti è qualcosa da tenere d'occhio?
|
|
|
The Diable
Junior Member
61 Messaggi |
Inserito il - 04/09/2005 : 00:33:07
|
Dipende dal tipo di firewall, io sono un tester di firewall e antivirus e ti posso fare qualche esempio:
Anti-Hacker di Kaspersky -->> segnala gli attacchi e ti dice da che IP provengono però non ti dice la porta attaccata
OutPost ti dice solo i programmi che tentano di entrare e uscire dal computer
Zone Alarm ti indica i programmi che entrano ed escono ma blocca di tutto anche se non te lo indica (altrimenti impazziresti)
Come puoi vedere ogni firewall ti lascia una specie di rapporto e ti dice da chi sei stato attaccato quindi non c'è un modo preciso, il migliore è affidarsi al firewall che fa per sè |
 |
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
 Inserito il - 06/09/2005 : 23:26:52
|
Ma diciamo che il post di The Diable è un pò troppo conciso.... te ne accorgi anche dai rallentamenti della connessione improvvisi, e inspeigabili specialmente se durano tanto.....specie nell caso in cui stiano utilizzando il tuo PC come proxy o più brutalmente come SOKCS. Per esempio se hai un trojan dentro al PC il comportamento è lo stesso(e il firewall t segnala forse, come ZA con un cerchietto sbarrato orizzontalmente in centro, che indica un tentativo di intrusione dove non viene indicata la provenienza molte volte).
Il brutto è che non si può monitorare un attacco nel momento che c'è. Infatti a differenza di ciò che ha detto The Diablo, un attacco nel momento in cui viene segnalato dal tuo firewall viene automaticamente bloccato; ma se l'attacco è sovversivo esso non lo rivela e quindi tu non la sai, e puoi accorgetene quando è troppo tardi, o quando l'attacante sta già dentro il tuo PC a scorazzare ed è ormai già troppo tardi.
A dimostrazione della mia Tesi rispondo a The Diablo così:
Se hai Emule attivo e io digito quanto segue cosa succede????
telnet xxx.xxx.xxx.xxx 4661
Te lo dice il tuo firewall??????
Altro esempio:
Se Io faccio fare al mio PC mediante uno script quello che segue centianaia di volte cosa succede?????
telnet xxx.xxx.xxx.xxx 79
te lo dice il tuo firewall????
P.S.: I test sono solamente indicativi, e servono soprattutto per vedere se un firewall reagisce; ma di fronte a minacce di social engineering(le più efficaci con gli utenti comuni), o di trojan, o di attacchi DoS o di attacchi mirati e sovversivi il tuo firewall, per quanto possa essere forte sarà sempre impotente! Ricordalo! Ciauz Ciauz
P.P.S.: Questo mio post non vuole mancare di rispetto a The Diablo, e nemmeno sminuire le sue competenze, anzi sono convinto che sia una persona convinta ma in questo caso penso che sia giusto affermare i fatti come stanno veramente e di quanto sia un pò un terno al lotto capire se si è stati bucati oppure no! Byez Byez
BY EcNx82. |
|
|
|
Feibrix
Advanced Member
Città: Ivrea
588 Messaggi |
Inserito il - 07/09/2005 : 09:12:50
|
| rimane sempre il fatto che un dos sul nostro pc di casa non ha assolutamente senso. e la prova a telnettare la porta che emule usa per gestire le connessioni non porta da nessuna parte.... |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 07/09/2005 : 18:36:17
|
| Ok Feibrix ho recepito il messaggio, ma questo era soltanto per dimostrare quanto un firewall sia necessario, ma allo stesso tempo molte volte impossibilitato a gestire certe procedure.....tutto qui! E penso proprio che qui tu non possa darmi torto! Ciauz Ciauz! |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 07/09/2005 : 22:21:24
|
Citazione:
Messaggio inserito da The Diable
OutPost ti dice solo i programmi che tentano di entrare e uscire dal computer
Scusa????? Outpost, praticamente ti dice tutto quello che vuoi sapere. In questo preciso momento mi dice:
giorno e ora >> 03/09/2005 22.17.12
Tipo di "attacco">> Port scan
Ip >>66.230.185.146
Protocollo >> TCP
Porte >> (2712, 2687, 2759, 2750, 2744, 2740, 2734, 2725, 2720, 2719, 2710, 2664)
sarai anche un "tester"...ma li testi "male" i programmi ;-) |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 10/09/2005 : 13:55:19
|
| Io non mi sento nella posizione di commentare i "tester" come The Diable, ma penso che se il pensiero abbastanza comune venga espresso da un Admin di Pianeta PC come Erreale il discorso cambi. Ciauz Ciauz a tutti e soprattutto cerchiamo di restare in tema e non aprire una polemica! |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 06/10/2005 : 16:42:01
|
Non ho mai provato Outpost.
Prova a vedere se vede anche
nmap -sS-sU-o-I IP* e facci sapere. se blocca anche scansioni sthealt è veramente interessante
ciao |
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 07/10/2005 : 13:02:14
|
I pc domestici non sono quasi mai vittima di attacchi mirati, quindi un firewall qualsiasi settato per non fare entrare nulla (o lo stretto necessario) è sufficiente. Se hai tempo da perdere puoi stare a guardare i log, ma ormai c'è talmente tanto "rumore" che è raro trovarci qualcosa di interessante.
Su reti aziendali o sul traffico da/verso i pc esposti al pubblico (web server, mail server, etc.) il problema è più sentito e ci sono tool appositi (NIDS, etc.).
Ciao |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 07/10/2005 : 20:49:54
|
Be non sono proprio daccordo....i PC domestici sono quelli più vulnerabili; e se sondiamo le statistiche quelli più bombardati da "porcherie" quali spyware, trojan, worm e quant'altro.
Questo perchè molti utenti, spesso inesperti, non sanno di essere proxy di qualcun'altro, solitamente lamer.
Poi è anche logico che un server bombardato fa + notizia e più scalpore di un povero user e pertanto direi che effettivamente, come da obiettivo di qst forum, i beneficiari di certi consigli sono e devono essere gli user comuni. Byez Byez |
|
|
| |
Discussione |
|
Attacchi si attacchi no
Forum Bloccato
