Kandu.dk - Portscanninger og lignende - ignorerer man dem bare eller brokker man sig?


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Portscanninger og lignende - ignorerer man~
Fra : ZUM

Dato : 22-05-01 10:34

Hvad er den generelle holdning?
Hjælper det at brokke sig, eller er ISP'erne ligeglade?
Ifølge min firewall log bliver jeg scannet 5-8 gange i døgnet. :-|
Umiddelbart generer det ikke, men det er jo irriterende at se 255 linier med den samme idiot der prøver forskellige porte i hele c-klassen....

mvh Jan

Christian Andersen (22-05-2001)

Kommentar
Fra : Christian Andersen

Dato : 22-05-01 10:59

ZUM wrote:

>Ifølge min firewall log bliver jeg scannet 5-8 gange i døgnet. :-|
>Umiddelbart generer det ikke, men det er jo irriterende at se 255
>linier med den samme idiot der prøver forskellige porte i hele
>c-klassen....

Hvis han scanner et helt c-net og han er dansker er jeg sikker på at
hans ISP gerne vil høre om det.

Hvis han er udlænding er det mindre sikkert om de vil gøre noget. Men
prøv alligevel.

--
Mvh, Christian

Bliv fri for spam! - http://www.sneakemail.com

Bertel Lund Hansen (22-05-2001)

Kommentar
Fra : Bertel Lund Hansen

Dato : 22-05-01 11:13

ZUM skrev:

>Hjælper det at brokke sig, eller er ISP'erne ligeglade?

ISP'erne er næppeligeglade med deciderede portscanninger, men
hovedparten af hvad der foregår er formodentlig normale ting. Jeg
kunne let forestille mig at de kunne drukne i klager over
ligegyldigheder fordi det ser 'farligt' ud når man får opsat en
firewall.

>Umiddelbart generer det ikke, men det er jo irriterende at se 255 linier
>med den samme idiot der prøver forskellige porte i hele c-klassen...

Sådan noget kunne godt få mig til at overveje en klage. Selv ser
jeg kun spredt fægtning som jeg ikke tror betyder noget.

--
Bertel
http://lundhansen.dk/bertel/ FIDUSO: http://fiduso.dk/

Simon Skals (22-05-2001)

Kommentar
Fra : Simon Skals

Dato : 22-05-01 11:56

It seems Bertel Lund Hansen wrote:
>Sådan noget kunne godt få mig til at overveje en klage. Selv ser
>jeg kun spredt fægtning som jeg ikke tror betyder noget.

Meget af det, du ser som ''spredt fægtning'' er med stor
sandsynlighed portscanning af en større eller mindre udsnit af
den IP-blok, du bor i.

I Cybercitys interne grupper er det flere gange hændt, at vore
ADSL-brugere har sammenlignet logfiler og fundet, at de har haft
besøg af samme ubudne gæst med kort tids mellemrum.

Vores portscan-detector fanger da også uhyrlige mængder af den
slags snavs. Alene i dag den 22. maj har der været ca. 15 af
slagsen.

Fx sådan en som denne:

09:56:48.576772 212.187.23.180.47017 > 62.66.0.1.47017: SF 149021788:149021788(0) win 1028
09:56:48.576780 212.187.23.180.47017 > 62.66.0.2.47017: SF 149021788:149021788(0) win 1028
09:56:48.576928 212.187.23.180.47017 > 62.66.0.3.47017: SF 149021788:149021788(0) win 1028
09:56:48.576956 212.187.23.180.47017 > 62.66.0.4.47017: SF 149021788:149021788(0) win 1028
09:56:48.577078 212.187.23.180.47017 > 62.66.0.5.47017: SF 149021788:149021788(0) win 1028
09:56:48.577305 212.187.23.180.47017 > 62.66.0.6.47017: SF 149021788:149021788(0) win 1028
09:56:48.577415 212.187.23.180.47017 > 62.66.0.7.47017: SF 149021788:149021788(0) win 1028
09:56:48.577464 212.187.23.180.47017 > 62.66.0.8.47017: SF 149021788:149021788(0) win 1028
09:56:48.577611 212.187.23.180.47017 > 62.66.0.9.47017: SF 149021788:149021788(0) win 1028
09:56:48.577734 212.187.23.180.47017 > 62.66.0.10.47017: SF 149021788:149021788(0) win 1028
09:56:48.581411 212.187.23.180.47017 > 62.66.0.11.47017: SF 149021788:149021788(0) win 1028
09:56:48.813195 212.187.23.180.47017 > 62.66.0.12.47017: SF 149021788:149021788(0) win 1028
09:56:48.813324 212.187.23.180.47017 > 62.66.0.13.47017: SF 149021788:149021788(0) win 1028
09:56:48.813590 212.187.23.180.47017 > 62.66.0.14.47017: SF 149021788:149021788(0) win 1028
09:56:48.813597 212.187.23.180.47017 > 62.66.0.15.47017: SF 149021788:149021788(0) win 1028
[...]
10:18:33.798126 212.187.23.180.47017 > 62.66.255.240.47017: SF 544670927:544670927(0) win 1028
10:18:33.810707 212.187.23.180.47017 > 62.66.255.241.47017: SF 544670927:544670927(0) win 1028
10:18:33.839399 212.187.23.180.47017 > 62.66.255.242.47017: SF 544670927:544670927(0) win 1028
10:18:33.858147 212.187.23.180.47017 > 62.66.255.243.47017: SF 544670927:544670927(0) win 1028
10:18:33.877596 212.187.23.180.47017 > 62.66.255.244.47017: SF 544670927:544670927(0) win 1028
10:18:33.896916 212.187.23.180.47017 > 62.66.255.245.47017: SF 544670927:544670927(0) win 1028
10:18:33.913438 212.187.23.180.47017 > 62.66.255.246.47017: SF 544670927:544670927(0) win 1028
10:18:33.941940 212.187.23.180.47017 > 62.66.255.247.47017: SF 544670927:544670927(0) win 1028
10:18:33.960531 212.187.23.180.47017 > 62.66.255.248.47017: SF 544670927:544670927(0) win 1028
10:18:33.979473 212.187.23.180.47017 > 62.66.255.249.47017: SF 544670927:544670927(0) win 1028
10:18:33.999119 212.187.23.180.47017 > 62.66.255.250.47017: SF 544670927:544670927(0) win 1028
10:18:34.018335 212.187.23.180.47017 > 62.66.255.251.47017: SF 544670927:544670927(0) win 1028
10:18:34.040787 212.187.23.180.47017 > 62.66.255.252.47017: SF 544670927:544670927(0) win 1028
10:18:34.059928 212.187.23.180.47017 > 62.66.255.253.47017: SF 544670927:544670927(0) win 1028
10:18:34.078582 212.187.23.180.47017 > 62.66.255.254.47017: SF 544670927:544670927(0) win 1028
10:18:34.098772 212.187.23.180.47017 > 62.66.255.255.47017: SF 544670927:544670927(0) win 1028

Sådan scanner man 2^16 IP-adresser på godt 20 minutter!

Lidt nærmere research viser, at TCP port 47017 anvendes af programmet t0rn, der
er et såkaldt rootkit til Linux-maskiner.

--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."

Bertel Lund Hansen (22-05-2001)

Kommentar
Fra : Bertel Lund Hansen

Dato : 22-05-01 15:01

Simon Skals skrev:

>Meget af det, du ser som ''spredt fægtning'' er med stor
>sandsynlighed portscanning af en større eller mindre udsnit af
>den IP-blok, du bor i.

Okay, det tænkte jeg ikke lige på.

Er der ikke nogen portscanninger der har med robotter at gøre?

--
Bertel
http://lundhansen.dk/bertel/ FIDUSO: http://fiduso.dk/

Simon Skals (22-05-2001)

Kommentar
Fra : Simon Skals

Dato : 22-05-01 16:51

It seems Bertel Lund Hansen wrote:
>>Meget af det, du ser som ''spredt fægtning'' er med stor
>>sandsynlighed portscanning af en større eller mindre udsnit af
>>den IP-blok, du bor i.
>
>Okay, det tænkte jeg ikke lige på.

Det er også umuligt at se, når man kun har trafikken til en
enkelt IP-adresse at forholde sig til.

Ud fra erfaringen vil jeg imidlertid vurdere, at når man får en
ubuden pakke fx til en port, der bruges af en kendt trojansk
hest, så er der 95% sandsynlighed for, at et stort antal af de
omkringliggende IP-adresser har fået samme tur.

>Er der ikke nogen portscanninger der har med robotter at gøre?

Hvordan det? Jeg tror, de fleste portscanninger sker med
forholdsvis simple Windows- eller Unix-programmer, som kan
downloades fra et hav af skumle websites.

Jeg har set et par af slagsen, og de kræver sjældent andet input
end en port-range og en IP-range. Når det er udfyldt, skal man
bare trykke på knappen, og så scanner programmet løs og melder
tilbage med eventuelle gevinster.

--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste