14. november 2002 - 01:02Der er
7 kommentarer og 1 løsning
Konstant aktivitet hos Firewall
Hej,
For nogen tid siden slog jeg popup meddelelser fra i Zone Alarm fordi jeg næsten ikke kunne nå at lukke dem ned før den næste kom. Jeg har nu prøvet at slå den til igen - stadig det samme. Et kig i logfilerne fortæller at den blokerer for tilgang til computeren gennemsnitligt hvert minut. Er det ikke lidt i overkanten??
Det er forskellige IP-adresser, men ifl. whois relaterer 90% af dem til Iana - og fortæller at der er absolut worldwide og at det kan være hvemsomhelst. Det kan jeg jo ikke bruge til så meget.
Hvad mener I, skal jeg bare slå popupene fra igen og lade som ingenting - eller er det bare uacceptabelt?
obs - ca 3-4 ud af 100 er på ftp-port resten på Netbios, oftest port 1029
Det kan være en NIMDA-virussen, scanner din WEB-Server for at inficere Exchange/Outlook kartoteker. Jeg har de sidste 4 uger haft 4.000 - 5.000 scanninger af port 137 i døgnet mod max 10 scanner i døgnet tidligere. Prøv www.dk-hostmaster.dk - her kan du se IP-tilhørsforhold i det meste af verden.
Jeg har i mellemtiden fundet ud af at jeg kan se hvor dns kommer fra på de fleste. Det er forskelligt hver gang, eksempler (kun selve hoveddomænet): 1) Bellsouth.net 2) Videotron.ca 3) Hi-hi.ne.jp 4) telesp.net.br 5) uconn.edu
Disse 5 er de sidste, kommet i en periode på 3 minutter, sådan fortsætter det i en lind strøm - alle med rød fane altså High risk og alle på NetBios.
Hvis jeg på grc scanner mine porte er de alle stealth mode og påstås at være ultimativt sikre og usynlige. Så jeg fatter ikke det bombardement fra hele verden på lige min pc.
Ville det min hjælpe hvis jeg kunne få min udbyder (stofanet) til at ændre IP?
Har nu været inde på en del domænenavne og kigge, det er lige fra webhost udbydere til universiteter og teleselskaber, på hoveddomænerne, altså store selskaber med mange kunder. Har aldrig besøgt nogen af dem før, så hvad hulen sker der, er der virkelig så mange der scanner løs på en helt tilfældig dansk port?
Her er ikke så megen aktivitet, så jeg lukker. Tak for din kommentar knightmare - håber du har fået bugt med dine "besøg"
Jeg følger lige op inden jeg slukker:
Har gennemlæst en stak nyhedsgrupper - det er ikke noget særegent fænomen at en ip bliver bombarderet, desværre har jeg ikke fundet nogen forklaring på hvorfor nogle bliver og andre ikke, andet end hvis snifferne opdager åbne porte - og det burde zone alarm jo netop forhindre.
ca. halvdelen af mine "besøg" er hos port 137, altså netbios - det er vel forståeligt nok og kan jeg ikke gøre så meget ved da jeg sidder på en lan forbindelse.
resten fordeler sig på port 1026, 1027 og 1029 hvor de sidste 2 benyttes af icq, hvilket er mærkeligt, jeg har ikke haft icq installeret det sidste år.
så er der lige port 1026 tilbage, noget med GUI, som måske har noget med mit webhotel at gøre? - den er jeg lidt nervøs for, men det vil jeg arbejde videre med i morgen..
Det eneste der ske'r er, at andre forbindelser, der drøner rundt på nettet, kommer forbi dig, og spørger om du har det IP de leder efter - hvis ikke, fortsætter søgningen. Der er derfor, at du kan komme en tur rundt om jorden, selv om du leder efter en side i Bagsværd.
Det er altså bare andres forbindelse, der vil spørge til dit evt. subnet - "ligger min destination på denne server?"
mjl>>ja, det er sikkert nok langt de fleste som er ganske harmløse, men hvorfor er der lige så mange der pinger mig de sidste par måneder og ikke f.eks. min kammerat? Jeg har ikke nogen server, så folk kan snildt finde Bagsværd uden at pinge mig. Mit hotel ligger på en lejet server, jeg tænkte at port 1026 var ben fordi jeg har haft kontakt til det.
Jeg har nu bestilt en dynamisk IP adresse, håber det ændrer situationen markant.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
