|
|
 | Port scan
Fra : Stig Meyer Jensen |
Dato : 03-03-02 14:40 |
|
Jeg har fået følgende info fra min W2k ISA server:
--
Event Type: Warning
Event Source: Microsoft ISA Server Control
Event Category: None
Event ID: 15102
Date: 02-03-2002
Time: 02:08:43
User: N/A
Computer: LPSERVER
Description:
ISA Server detected an Internet Protocol (IP) half-scan attack from IP
address 211.116.241.171. For more information about this event, see ISA
Server Help.
Data:
0000: 1f 00 00 00 ....
--
Jeg er rimelig sikker på at der kun er åbent på de nødvendige porte (http,
ftp, pptp, nntp, pop3, smtp) så det er vel ikke noget jeg behøver gøre noget
ved, eller er det?
--
Stig Meyer Jensen
stig@smj.dk
| |
 Jesper Louis Anderse~ (03-03-2002)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 03-03-02 15:15 |
|
On Sun, 3 Mar 2002 14:40:25 +0100, Stig Meyer Jensen <stig@smj.dk> wrote:
> Description:
> ISA Server detected an Internet Protocol (IP) half-scan attack from IP
> address 211.116.241.171. For more information about this event, see ISA
> Server Help.
> Data:
> 0000: 1f 00 00 00 ....
> --
En eller anden der har mere styr på win2k'ismer end jeg: Forklar lige
half-scan attack (noget med at pille options/flags i ip pakker
velsagtens). Ovenstående kunne meget vel være en ``faret-vild-pakke''.
Det hænder jo :)
> Jeg er rimelig sikker på at der kun er åbent på de nødvendige porte (http,
> ftp, pptp, nntp, pop3, smtp) så det er vel ikke noget jeg behøver gøre noget
> ved, eller er det?
Gøre noget ved det? Nej, det har firewallen jo gjort.
--
Jesper -
An algorithm a day, keeps the bugs away
| |
Peter Kruse (03-03-2002)
| Kommentar
Fra : Peter Kruse |
Dato : 03-03-02 16:47 |
|
"Jesper Louis Andersen" <jlouis@alfrigg.diku.dk> skrev i en meddelelse
news:slrna84bvh.cgm.jlouis@alfrigg.diku.dk...
> On Sun, 3 Mar 2002 14:40:25 +0100, Stig Meyer Jensen <stig@smj.dk> wrote:
> En eller anden der har mere styr på win2k'ismer end jeg: Forklar lige
> half-scan attack (noget med at pille options/flags i ip pakker
> velsagtens).
Det er meget sandsynligt, at ISA'ens indbyggede IDS har fanget en Nmap SYN
scanning.
Det er præcis hvad du opnår med en nmap scanning med: -sS www.(noget).dk.
Venligst
Peter Kruse
| |
Niels Callesøe (04-03-2002)
| Kommentar
Fra : Niels Callesøe |
Dato : 04-03-02 20:55 |
|
Stig Meyer Jensen wrote:
> Jeg er rimelig sikker på at der kun er åbent på de nødvendige
> porte (http, ftp, pptp, nntp, pop3, smtp) så det er vel ikke noget
> jeg behøver gøre noget ved, eller er det?
Det skulle man ikke synes. Der er dog 2 ting du kunne gøre hvis du
synes:
1: Gå dine services igennem (igen) for svagheder
2: NULL-route trafik fra 211.116.241.171 i din router.
(211.116.241.171 er ikke i MAPS DUL, så den er formodentlig relativt
fast)
--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses
| |
Povl H. Pedersen (05-03-2002)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 05-03-02 20:52 |
|
On Sun, 3 Mar 2002 14:40:25 +0100,
Stig Meyer Jensen <stig@smj.dk> wrote:
> Jeg har fået følgende info fra min W2k ISA server:
....
> Description:
> ISA Server detected an Internet Protocol (IP) half-scan attack from IP
> address 211.116.241.171. For more information about this event, see ISA
> Server Help.
....
Det er ikke denne du skal være bange for. Den er jo stoppet.
Nej, det er de ting der IKKE står i din log du skal være bange for.
Såfremt scanningerne er systematiske, og fra Danmark, så bør man
som virksomhed overveje om man vil anmelde dem. Ellers kan man
bare glæde sig over at disse pakker sandsynligvis ikke har gjort
skade.
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]
| |
|
|