---

Hej gruppe.
Jeg er sikker på, at dette har været oppe at vende adskillige gange og
derfor har jeg også prøvet diverse google gruppesøgninger uden at finde
svaret.
Spørgsmålet er:
Min firewall (Sygate) melder om adskillige portscanninger og med Ripe(Whois)
kommer jeg ikke længere end til eks. TDC ADSL og da jeg tvivler på at TDC
gider scanne mine porte, formoder jeg, at det er en TDC opkoblet bruger, der
forsøger. Så mit spørgsmål er følgende: hvordan kommer jeg videre og finder
brugeren ( spørgsmålet gælder ikkke kun Danske brugere - også udenlandske)

PFT

Ole Larsen



---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.716 / Virus Database: 472 - Release Date: 05-07-2004

---

Ole Larsen wrote:
>
> Min firewall (Sygate) melder om adskillige portscanninger

Din maskine er sikkert så uinteressant at der ikke er
adskillige personer, der gider scanne den. Så jeg vil
tro du bare har misforstået meldingerne fra din firewall.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en meddelelse
news:40F6C97B.443CA995@nospam.lir.dk.invalid...
> Ole Larsen wrote:
> >
> > Min firewall (Sygate) melder om adskillige portscanninger
>
> Din maskine er sikkert så uinteressant at der ikke er
> adskillige personer, der gider scanne den. Så jeg vil
> tro du bare har misforstået meldingerne fra din firewall.
>
> --
> Kasper Dupont -- der bruger for meget tid paa usenet.
> I'd rather be a hammer than a nail.

Hvis den melder portscanning fra flere angivne ip numre hvad er der så at
misforstå ?

Mvh
Ole


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.716 / Virus Database: 472 - Release Date: 05-07-2004

---

Ole Larsen wrote:
>
> Hvis den melder portscanning fra flere angivne ip numre hvad er der så at
> misforstå ?

For det første er det jo slet ikke sikkert,
at det er en portscanning.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

Ole Larsen, du skrev:

> Hvis den melder portscanning fra flere angivne ip numre hvad er der så at
> misforstå ?

Er det 3 - 4 scanninger fra samme IP, så er det højst sandsynligt fra
folk der har fået en eller flere orme på deres maskine og ikke ved de
sidder og portscanner, jeg vil anbefale at du bare glemmer det.

--
Henrik

---

"Henrik K Hansen" <henrik-k-hansen@despammed.com> skrev i en meddelelse
news:15.07.2004.20.50.16_dk.edb.sikkerhed_@hkh.dyndns.dk...
> Ole Larsen, du skrev:
>
> > Hvis den melder portscanning fra flere angivne ip numre hvad er der så
at
> > misforstå ?
>
> Er det 3 - 4 scanninger fra samme IP, så er det højst sandsynligt fra
> folk der har fået en eller flere orme på deres maskine og ikke ved de
> sidder og portscanner, jeg vil anbefale at du bare glemmer det.
>
> --
> Henrik
Ja, OK
Men hvis nu jeg har en mistanke og gerne vil identificere pågældende?
Mvh
Ole


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.716 / Virus Database: 472 - Release Date: 05-07-2004

---

"Ole Larsen" <oleNOSPAMtan@nospam.dk> writes:

> Så mit spørgsmål er følgende: hvordan kommer jeg videre og finder
> brugeren ( spørgsmålet gælder ikkke kun Danske brugere - også
> udenlandske)

Det gør du ikke. Internetudbyderen er den eneste, der kender
identiteten på slutbrugeren. Og med mindre du har en dommerkendelse,
får du nok svært ved at få udbyderen til at røbe identiteten.

--
Med venlig hilsen
- Jacob Atzen

---

Ole Larsen, du skrev:

> Ja, OK
> Men hvis nu jeg har en mistanke og gerne vil identificere pågældende?

Kig i headeren på mail og usenet indlæg, og se om det er sendt fra
pågældende IP.

--
Henrik

---

Henrik K Hansen wrote:
> Kig i headeren på mail og usenet indlæg, og se om det er sendt fra
> pågældende IP.

Er det en teknik du benytter med held ?
Har du evt. folk ansat til at gøre det for dig ?
Et par hundrede måske ?

No offence .. men det er da det dummeste
forslag jeg endnu har set.

Regards

og for en god ordens skyld FUTter jeg mig
selv over i mudderkastning.

---

On 2004-07-16, J.K.Arning <spam@_remove_arning.dk> wrote:
> Henrik K Hansen wrote:
>> Kig i headeren på mail og usenet indlæg, og se om det er sendt fra
>> pågældende IP.
>
> Er det en teknik du benytter med held ?

Det kan give gode resultater.

Af uinteressante oplysninger kan man se,
Du vil gerne have en Mac.
Du har en Golf 3 fra 94.
Du har en DELL X30.
Du har et Canon G5 kamera.

Af interessant oplysninger kan man se,
Du har en mobil telefon.
Du bruger TDC's private ADSL produkt, før med
dynamisk IP, nu med statisk IP.
Gætter på din IP er 62.242.68.14
Du bor i Brønshøj. Adressen skriver jeg ikke.


> Har du evt. folk ansat til at gøre det for dig ?

Google er en god start. De laver meget af arbejdet.

> Et par hundrede måske ?

Jeg gætter på de har flere folk ansat.

> No offence .. men det er da det dummeste
> forslag jeg endnu har set.

Det står for din regning.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel skrev i en meddelelse:
> On 2004-07-16, J.K.Arning <spam@_remove_arning.dk> wrote:
> > Henrik K Hansen wrote:
> >> Kig i headeren på mail og usenet indlæg, og se om det er sendt fra
> >> pågældende IP.
> >
> > Er det en teknik du benytter med held ?
>
> Det kan give gode resultater.
[...]
> Af interessant oplysninger kan man se,
> Du har en mobil telefon.
> Du bruger TDC's private ADSL produkt, før med
> dynamisk IP, nu med statisk IP.
> Gætter på din IP er 62.242.68.14
> Du bor i Brønshøj. Adressen skriver jeg ikke.


Hvordan?!

Malthe Sunesen

---

On 2004-07-18, Malthe Sunesen <malthe5@hotmail.com> wrote:
> Hvordan?!

google.com

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel skrev i en meddelelse:
> On 2004-07-18, Malthe Sunesen <malthe5@hotmail.com> wrote:
> > Hvordan?!
>
> google.com

Og du søgte bare på hans IP eller navn eller hvordan?

Malthe Sunesen

---

Malthe Sunesen wrote:
>
> Christian E. Lysel skrev i en meddelelse:
> > On 2004-07-18, Malthe Sunesen <malthe5@hotmail.com> wrote:
> > > Hvordan?!
> >
> > google.com
>
> Og du søgte bare på hans IP eller navn eller hvordan?

Et par forslag:

http://google.com/groups?as_ugroup=dk.*&as_uauthors=Arning
http://google.com/groups?q=62.242.68.14
http://google.com/groups?selm=3f57c61f%240%2483053%24edfadb0f%40dtext01.news.tele.dk
http://google.com/search?q=Arning+site%3Adk&btnG=Search

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

On 2004-07-18, Malthe Sunesen <malthe5@hotmail.com> wrote:
> Og du søgte bare på hans IP eller navn eller hvordan?

Ja.

Hans IP havde jeg ikke, da han jo prøver at skjule den.

Dog virker det som et uintelligent forsøg på at skjule
sin IP adresse, når han samtidigt har en webserver med
besøgsstatestik. Af hans webserver fremgår hvilken
IP adresse han bruger. Jeg vil nok også kunne gætte
mig til hans IP hos sin arbejdsgiver.

Kasper har dog også fundet et indlæg i netnews, hvor
han midlertidigt bruger sunsites news server
http://www.google.com/groups?selm=c65frp%24h32%241%40sunsite.dk&output=gplain


Hov, der kan man forresten også se hans far bor på Lolland :)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Ole Larsen <oleNOSPAMtan@nospam.dk> wrote:

> Min firewall (Sygate) melder om adskillige portscanninger og med Ripe(Whois)
> kommer jeg ikke l?ngere end til eks. TDC ADSL og da jeg tvivler p? at TDC
> gider scanne mine porte, formoder jeg, at det er en TDC opkoblet bruger, der
> fors?ger. S? mit sp?rgsm?l er f?lgende: hvordan kommer jeg videre og finder
> brugeren ( sp?rgsm?let g?lder ikkke kun Danske brugere - ogs? udenlandske)

Du saetter dig tilbage, spiser lidt chokolade og tager en slapper
foer du gaar amok igen:

   http://www.viking.virkelighed.dk/

Der er ikke nogen grund til at goere noget ved portscanninger med mindre
din maskine er saarbar. Og i det tilfaelde skal man fjerne saabarhederne
frem for at bekymre sig om Sygates horror-show. Hvordan ved du ioevrigt
at brugeren i den anden ende ikke bare er en overtaget maskine som en
hacker benytter sig af? Har du rent faktisk lavet et TCP-handshake med
enhver port i portscanningen saa du kan vaere sikker paa at den ikke
er spoofet.

--
j.

---

"Jesper Louis Andersen" <jlouis@miracle.mongers.org> skrev i en meddelelse
news:trlks1-6s8.ln1@miracle.mongers.org...
.. Hvordan ved du ioevrigt
> at brugeren i den anden ende ikke bare er en overtaget maskine som en
> hacker benytter sig af? Har du rent faktisk lavet et TCP-handshake med
> enhver port i portscanningen saa du kan vaere sikker paa at den ikke
> er spoofet.
>
> --
> j.

Fortstår ikke en dyt af hvad du siger, men den generelle holdning er
åbenbart at jeg ikke skal tage mig af portscanninger
Mvh
Ole


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.716 / Virus Database: 472 - Release Date: 05-07-2004

---

"Ole Larsen" skrev i en meddelelse

> den generelle holdning er
> åbenbart at jeg ikke skal tage mig af portscanninger


Jeps!

Læn dig trygt tilbage i stolen, drik en kop kaffe, og glæd dig over, at
Sygate nidkært vogter din bagdør. De fleste scanninger er rutinemæssige,
fuldt legale og ganske harmløse, sagde en flink dame hos TDC's ADSL-hotline
engang til mig.

Mvh John

---

Ole Larsen <oleNOSPAMtan@nospam.dk> wrote:

> Fortst?r ikke en dyt af hvad du siger, men den generelle holdning er
> ?benbart at jeg ikke skal tage mig af portscanninger

TCP-handshake - TCP er en protokol der anvendes til overfoersel af data
mellem maskiner paa internettet. Det er en _forbindelsesorienteret_
protokol der endvidere sikrer at data er korrekt overfoert mellem
2 forbindelsespunkter.

Naar der skal oprettes en forbindelse foretages en operation, et
handshake, hvor der udveksles data frem og tilbage. Efter dette
handshake er fuldfoert opfattes forbindelsen som oprettet. Hvis
handshake ikke kan fuldfoeres kan man ikke snakke om en oprettet
forbindelse og der kan ikke sendes data af nogen art.

Spoof - En betegnelse for en forfalskning af information. I dette
tilfaelde kan afsenderadressen forfalskes, saa det ser ud som om en
anden person forsoeger at oprette en forbindelse via et handshake.

Resultatet er at en grum person kan proeve at snyde dig til at tro at
en anden IP-adresse laver noget gris med din maskine.


--
j.

---

Jesper Louis Andersen wrote:
>
> Resultatet er at en grum person kan proeve at snyde dig til at tro at
> en anden IP-adresse laver noget gris med din maskine.

Man kan f.eks. tage et kig på den her side:
http://www.insecure.org/nmap/idlescan.html

Og da vil man se, at det kan lade sig gøre at lave
et portscan så det ser ud som om det er foretaget
af en anden maskine.

Og hvis man tager et kig tilbage på tidligere tråde
her i gruppen vil man se, at man sagtens kan gøre
den endnu sværere at gennemskue hvor et scan er
foretaget fra.

Og hvis man ikke ved præcist hvad der foregår så er
den bedste løsning i de fleste tilfælde at blot
ignorere det.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

Ole Larsen, du skrev:

> men den generelle holdning er
> åbenbart at jeg ikke skal tage mig af portscanninger

Ja sæt dit system sikkert op, og brug Sygates log filer som hygge
læsning.

Her er mit system.

Aktive forbindelser

Proto Lokal adresse Fjernadresse Status
TCP henrikha:1025 henrikha:0 LISTENING

--
Henrik

---

Malthe Sunesen, du skrev:

>> google.com
>
> Og du søgte bare på hans IP eller navn eller hvordan?

De par gange jeg er blevet vold scannet har jeg gennemsøgt min egen
lokale newsserver for at se om jeg kunne finde ud af hvem det var, men
google er da mere effektiv, hvis folk da ikke har brugt en
X-No-Archive header.

Da der åbenbart er flere og flere newsservere der skjuler IP nummeret,
så bliver det svære at finde folk, men det gælder selvfølgeligt begge
veje.

--
Henrik