|
|
 | Portscanning og ligeglade ISP'er ? SIMPEL ~
Fra : Jens-Chr.Engel@get2n~ |
Dato : 21-05-05 17:16 |
|
Irriteret over portscanning og ISP'er = internetudbydere, der er ligeglade ?
En simpel løsning, der før eller siden vil få opmærksomhed og se løsning:
1. Sæt routeren til det mest paranoide niveau, dvs. slå ALLE filtre fra.
2. Indstil routeren til at sende "incoming access logs" til
internetudbyderen
Ex: ISP=TELE2DK
2a. Send til TELE2 ABUSE: get2abu@heisenberg.uni2.net
2b. Når de lukker staklens mail, så til: infoadsl@tele2.com
Mvh/jc
| |
 Klaus Ellegaard (21-05-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 21-05-05 17:18 |
|
Jens-Chr.Engel@get2net.dk <Jens-Chr.Engel@get2net.dk> writes:
>2. Indstil routeren til at sende "incoming access logs" til
>internetudbyderen
Hvad skulle formålet være med det? (Udover at du hurtigt får
lukket din egen forbindelse pga. misbrug)
Mvh.
Klaus.
| |
Martin Schultz (21-05-2005)
| Kommentar
Fra : Martin Schultz |
Dato : 21-05-05 17:20 |
|
<Jens-Chr.Engel@get2net.dk> <Jens-Chr.Engel@get2net.dk> skrev 2005-05-21:
> Irriteret over portscanning og ISP'er = internetudbydere, der er ligeglade ?
>
> En simpel løsning, der før eller siden vil få opmærksomhed og se løsning:
>
> 1. Sæt routeren til det mest paranoide niveau, dvs. slå ALLE filtre fra.
> 2. Indstil routeren til at sende "incoming access logs" til
> internetudbyderen
Dvs. at du godt må genere andre men andre må ikke genere dig?
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.
| |
Jens-Chr.Engel@get2n~ (21-05-2005)
| Kommentar
Fra : Jens-Chr.Engel@get2n~ |
Dato : 21-05-05 18:35 |
|
90% af portscanningen på Tele2ADSL's net stammer fra IP'er indenfor Tele2's
eget adresserum (83.72.0.0 - 83.73.255.255), så ikke blot har ISP MULIGHEDEN
for at spore og ta' kontakt til Blaster-virus/orme-sprede - de har også
pligten !
DOKUMENTATIONen er i blot i orden OG sendt til ISP i form af bl.a
nedenstående analyser af logfiler.
RATIONALET er, at mange brugerne tildeles IP-adresser dynamisk indenfor
adresserummet, så hvis ISP skal ha' mulighed for at undersøge sagen til
bunds, kræver det, at ISP får tidspunkt, ip og port, hvis der skal der gøres
noget effektivt ved det, og det gør enhver ansvarlig ISP, naturligvis, selv
om denne åbebart ikke selv evner at lave analysen. Bortest fra det, er
omsorgen for min ISP og IP rørende, men heldigvis er der mange af slagsen
....
KONKLUSIONEN er send ALT hvad i har, og hjælpe de stakkels ISP'er, der ikk
eselv formår det - det skylder vi dem. Tknk på, hvad de gør for os, á la
lukker for for port 25 frem for at lave spamfiltre, så hvor for ikke også
for 135 og 445 ... , men hvad så med internettet, det vi betaler for og ikke
får ? Det er FOR bekvemt !
/jc
Jeg har indenfor den seneste uge været udsat for 12.000 angreb, der fordeler
sig på porte som:
+-------+------+
| port | hits |
+-------+------+
| 135 | 5787 |
| 445 | 3679 |
| 139 | 262 |
| 1433 | 117 |
| 1025 | 76 |
| 137 | 14 |
| 20168 | 2 |
+-------+------+
Top 100 indenfor TELE2's IP adresser er :
+---------------+------+------+
| ip | port | hits |
+---------------+------+------+
| 83.73.6.9 | 445 | 93 |
| 83.73.134.71 | 445 | 83 |
| 83.73.0.4 | 135 | 78 |
| 83.73.154.238 | 135 | 78 |
| 83.73.85.156 | 135 | 70 |
| 83.73.1.96 | 445 | 67 |
| 83.73.41.223 | 135 | 67 |
| 83.73.26.245 | 135 | 66 |
| 83.73.124.145 | 135 | 66 |
| 83.73.100.66 | 445 | 65 |
| 83.73.129.250 | 135 | 64 |
| 83.73.113.111 | 135 | 64 |
| 83.73.212.124 | 135 | 64 |
| 83.73.88.118 | 135 | 63 |
| 83.73.60.12 | 135 | 62 |
| 83.73.215.86 | 445 | 62 |
| 83.73.147.140 | 135 | 61 |
| 83.73.138.237 | 135 | 61 |
| 83.73.39.80 | 135 | 61 |
| 83.73.64.242 | 135 | 60 |
| 83.73.101.150 | 135 | 60 |
| 83.73.78.253 | 135 | 59 |
| 83.73.99.246 | 445 | 58 |
| 83.73.119.80 | 135 | 57 |
| 83.73.175.115 | 445 | 57 |
| 83.73.127.81 | 445 | 57 |
| 83.73.128.201 | 135 | 56 |
| 83.73.223.32 | 135 | 53 |
| 83.73.212.226 | 135 | 52 |
| 83.73.164.2 | 135 | 52 |
| 83.73.158.139 | 135 | 51 |
| 83.73.112.48 | 135 | 51 |
| 83.73.143.186 | 135 | 51 |
| 83.73.61.66 | 445 | 50 |
| 83.73.174.208 | 135 | 48 |
| 83.73.47.28 | 135 | 48 |
| 83.73.109.123 | 135 | 48 |
| 83.73.125.226 | 135 | 47 |
| 83.73.140.209 | 135 | 46 |
| 83.73.47.46 | 139 | 46 |
| 83.73.93.38 | 135 | 46 |
| 83.73.144.94 | 135 | 45 |
| 83.73.211.247 | 135 | 44 |
| 83.73.29.3 | 135 | 44 |
| 83.73.113.127 | 135 | 43 |
| 83.73.221.66 | 135 | 42 |
| 83.73.34.12 | 135 | 42 |
| 83.73.93.80 | 135 | 42 |
| 83.73.141.18 | 135 | 41 |
| 83.73.55.10 | 135 | 40 |
| 83.73.210.161 | 135 | 39 |
| 83.73.40.62 | 135 | 39 |
| 83.73.0.22 | 445 | 39 |
| 83.73.49.43 | 135 | 39 |
| 83.73.174.207 | 135 | 39 |
| 83.73.212.55 | 445 | 38 |
| 83.73.185.230 | 135 | 38 |
| 83.73.51.21 | 135 | 37 |
| 83.73.142.41 | 445 | 37 |
| 83.73.132.80 | 135 | 36 |
| 83.73.166.173 | 445 | 36 |
| 83.73.220.159 | 445 | 36 |
| 83.73.212.46 | 445 | 35 |
| 83.73.3.248 | 135 | 34 |
| 83.73.102.78 | 445 | 34 |
| 83.73.27.183 | 445 | 34 |
| 83.73.115.38 | 135 | 34 |
| 83.73.75.137 | 445 | 34 |
| 83.73.76.20 | 445 | 33 |
| 83.73.40.192 | 135 | 33 |
| 83.73.146.18 | 139 | 33 |
| 83.73.106.235 | 445 | 33 |
| 83.73.119.123 | 135 | 32 |
| 83.73.130.14 | 135 | 32 |
| 83.73.75.202 | 135 | 31 |
| 83.73.179.119 | 445 | 31 |
| 83.73.141.231 | 445 | 30 |
| 83.73.27.78 | 135 | 30 |
| 83.73.186.139 | 445 | 30 |
| 83.73.109.113 | 135 | 30 |
| 83.73.157.140 | 135 | 30 |
| 83.73.184.239 | 135 | 30 |
| 83.73.104.247 | 135 | 30 |
| 83.73.176.130 | 445 | 29 |
| 83.73.174.98 | 135 | 29 |
| 83.72.230.44 | 135 | 28 |
| 83.73.98.252 | 135 | 28 |
| 83.73.59.251 | 135 | 28 |
| 83.73.163.65 | 1433 | 28 |
| 83.73.34.11 | 135 | 28 |
| 83.73.95.218 | 135 | 28 |
| 83.73.66.41 | 135 | 27 |
| 83.73.115.5 | 135 | 27 |
| 83.73.215.146 | 445 | 27 |
| 83.73.95.16 | 135 | 27 |
| 83.73.102.64 | 135 | 26 |
| 83.73.218.92 | 445 | 26 |
| 83.73.31.184 | 135 | 26 |
| 83.73.63.195 | 135 | 26 |
| 83.73.130.227 | 445 | 26 |
+---------------+------+------+
| |
 Bettina Svendsen (21-05-2005)
| Kommentar
Fra : Bettina Svendsen |
Dato : 21-05-05 19:12 |
|
<Jens-Chr.Engel@get2net.dk> wrote in message
news:aiKje.913$wN4.496@news.get2net.dk...
> 90% af portscanningen på Tele2ADSL's net stammer fra IP'er indenfor
> Tele2's
> eget adresserum (83.72.0.0 - 83.73.255.255), så ikke blot har ISP
> MULIGHEDEN
> for at spore og ta' kontakt til Blaster-virus/orme-sprede - de har også
> pligten !
Hvor ser du helt præcist at din ISP har pligten ?
Hvis nu du rent faktisk havde lyst til at betale noget mere for din
forbindelse, er jeg sikker på din ISP har råd til at ansætte 6-8
medarbejdere, som kan tage sig af den slags?
På min tidligere arbejdeplads, hvor jeg håndterede den slags (for ca. 2 år
siden), kom der omkring 600 af din slags mails om dagen....Hvoraf 60 % var
sendt af folk, som havde trykket på nogle finde knapper i Zonealarm uden at
rigtigt vide hvad de lavede.Skal de så også opdrages, og hjælpes til at
forstå hvad ud og indgående traffik er, og hvilke porte der ufarlige?
Det er vel heller ikke det store problem for dig med den traffik, hvis
ellers du har konfigureret din firewall ordentligt?
/Bettina
| |
Povl H. Pedersen (23-05-2005)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 23-05-05 19:52 |
|
In article <428f79cd$0$260$edfadb0f@dread11.news.tele.dk>, Bettina Svendsen wrote:
>
><Jens-Chr.Engel@get2net.dk> wrote in message
> news:aiKje.913$wN4.496@news.get2net.dk...
>> 90% af portscanningen på Tele2ADSL's net stammer fra IP'er indenfor
>> Tele2's
>> eget adresserum (83.72.0.0 - 83.73.255.255), så ikke blot har ISP
>> MULIGHEDEN
>> for at spore og ta' kontakt til Blaster-virus/orme-sprede - de har også
>> pligten !
>
> Hvor ser du helt præcist at din ISP har pligten ?
>
> Hvis nu du rent faktisk havde lyst til at betale noget mere for din
> forbindelse, er jeg sikker på din ISP har råd til at ansætte 6-8
> medarbejdere, som kan tage sig af den slags?
ISP'en burde sætte et IDS/IPS system op, og såfremt det portscannes
fra en intern adresse, så redirrigere al kundens web trafik til en
side der oplyser om, at han sandsynligvis har virus eller spyware på
sin maskine, og hans internet er spærret indtil han rydder op, dog
max 24 timer efter sidste konstaterede scanning.
Jeg ved det er brugt med stor success på amerikanske universiteter
hvor virus og spyware generelt ikke lever længe. Dette med stor
båndbredde som resultat, dvs ISP'en på sigt tjener penge (medmindre
folk skifter ISP, så skal man bare have de andre med også).
> På min tidligere arbejdeplads, hvor jeg håndterede den slags (for ca. 2 år
> siden), kom der omkring 600 af din slags mails om dagen....Hvoraf 60 % var
> sendt af folk, som havde trykket på nogle finde knapper i Zonealarm uden at
> rigtigt vide hvad de lavede.Skal de så også opdrages, og hjælpes til at
> forstå hvad ud og indgående traffik er, og hvilke porte der ufarlige?
Alt det der er stoppet i din firewall er ufarligt. Det farlige er kun
det der ikke giver alarmer. Men det er ikke det der er sagen, sagen
er om ikke ISP'en burde hjælpe nogle af kunderne.
Evt lukke kundens router i sådanne tilfælde, så der kun er åbent
for SMTP -> ISP, POP3/IMAP/HTTP/HHTPS til verden. Evt med besked
som listet ovenfor.
>
> Det er vel heller ikke det store problem for dig med den traffik, hvis
> ellers du har konfigureret din firewall ordentligt?
>
> /Bettina
>
>
| |
Klaus Ellegaard (21-05-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 21-05-05 19:13 |
|
Jens-Chr.Engel@get2net.dk <Jens-Chr.Engel@get2net.dk> writes:
>Jeg har indenfor den seneste uge været udsat for 12.000 angreb,
Næ, du har bare fået lidt trafik.
Hvis man skal lave en analogi, himler du op om alle dem, der krænker
din ejendomsret ved at røre ved din hæk, mens de går forbi ude på
fortorvet. Enkelte af dem har måske endda haft en halv sko inde på
din indkørsel! De er sikkert indbrudstyve allesammen!
>+-------+------+
>| port | hits |
>+-------+------+
>| 135 | 5787 |
>| 445 | 3679 |
>| 139 | 262 |
>| 137 | 14 |
Windows-værk. Det er nærmest, som det skal være. Måske er der lidt
ormeaktivitet i det, men det er da ligemeget. Det generer jo ikke
nogen.
>| 1433 | 117 |
Sikkert en SQL-orm af en art. Altså en der fik den halve sko ind
på din grund. Vil du ringe efter politiet, sætte pigtråd op eller
bare ignorere det?
>| 1025 | 76 |
>| 20168 | 2 |
Efter al sandsynlighed returtrafik du selv er ansvarlig for.
Undskyld hvis jeg har overset noget meget alvorligt... men jeg
forstår ikke problemet?
Båndbreddemæssigt er det komplet ligegyldigt, der er ingen farer
forbundet med den trafik overhovedet, og omkostningerne ved at
fikse det er alt for store.
Husk på at du skal betale for, at ISPerne tager kontakt til de
kunder. Jeg kan ikke forestille mig, at forbrugerombudsmanden og
politikerne i øvrigt vil se med milde øjne på det, hvis man
forsøger at lade de ramte kunder betale gildet.
Ergo er det altså din opkobling, der bliver dyrere, hvis dine
krav skal gennemføres. Og den bliver i særklasse dyrere, hvis du
og resten af verden begynder at sende dem ufiltrede logs. Så skal
de jo ansætte et par tusind mand til bare at kigge dem igennem -
og det bliver for din regning.
Mvh.
Klaus.
| |
Jens-Chr.Engel@get2n~ (21-05-2005)
| Kommentar
Fra : Jens-Chr.Engel@get2n~ |
Dato : 21-05-05 20:11 |
|
1. 10-apr-2005: Eksplosiv stigning i accesstrafikken, fra. ca. 0 til 100 pr.
time henvendte jeg mig til Tele2, hvilket hidtil kun har udløste
policystatements à la "Hos Tele2 ser vi med stor alvor på alle former for
misbrug af internetforbindelser" fra Tele2 Abuse og 'nanneries' á la
"internettet er et farligt sted ... " fra Tele2 Kundeservice, men en slags
responce kom der dog - efter at jeg havde tilbudt at lade min computer
snakke med deres ...
2. 17-apr-2005: Efter lidt mere 'trafik - bad jeg Tele2 ta' sagen alvorligt
:
Da jeg går ud fra, at Tele2 har e-mailadresser på sine kunder, og kan finde
frem til hvem der (på de pågældende tidspunkter, i de tilfælde hvor kunder
ikke har fast/reserveret IP-adresse), og derfor har mulighed for at ta'
kontakt, og sende brugere, der måske ikke selv er klar over at de spreder
virus, en vejledning til fjernelse fx.
http://www.mcafee.dk/support/lovsan.php . Tele2 HAR mulighed for at gøre
noget ved 90% at den uønskede aktivitet, som formodentlig er ulovlig, hvis
det sker med forsæt om at gøre andre brugeres systemer ustabile: se
http://www.it-retten.dk/bog/17/01/
3. 18-apr-2005: Forelagde Tele2 dik for at 90% at angreb kom fra egen
IP-pulje samt statistik over mest benyttede IP-adresser, men opfordring til
at gøre noget ved problemet, fx. midlertidigt lukke 135. 445 mv. som
symptombehandling á la hvad man allerede her gjort med post-porten 25.
4. 21-apr-2005: Publiceret dokumentation for problemets eksistens, relevans
og omfang.
Responsen og solidariteten med ISP'ernes kvalitet er næsten rørende. Jeg
burde sikkert ha' taget fat i mere kvantitativt á la forskellen mellem
TCP/UDP båndbredder bestemt med ISP'erne egne værktøjer og Telestyrelsens,
hvor lovgrundlaget er fastere end for portscanning.
/jc
| |
Christian Laursen (21-05-2005)
| Kommentar
Fra : Christian Laursen |
Dato : 21-05-05 20:28 |
|
<Jens-Chr.Engel@get2net.dk> writes:
> Responsen og solidariteten med ISP'ernes kvalitet er næsten rørende. Jeg
> burde sikkert ha' taget fat i mere kvantitativt á la forskellen mellem
> TCP/UDP båndbredder bestemt med ISP'erne egne værktøjer og Telestyrelsens,
> hvor lovgrundlaget er fastere end for portscanning.
Har du ikke noget bedre at tage dig til?
--
Christian Laursen
| |
Klaus Ellegaard (21-05-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 21-05-05 20:33 |
|
Jens-Chr.Engel@get2net.dk <Jens-Chr.Engel@get2net.dk> writes:
>4. 21-apr-2005: Publiceret dokumentation for problemets eksistens, relevans
>og omfang.
Problem: Næ, det skaber ikke bøvl for nogen.
Eksistens: Ja, det findes. Det har det altid gjort, og det vil det
blive ved med i al evighed.
Relevans: Ingen - det er komplet ligegyldigt.
Omfang: Det udgør vel 0,000000000000000000000000001% af trafikken.
Men jeg spørger igen: er du villig til at betale 100 kroner ekstra
om måneden for at ISPen tager "problemet" alvorligt?
Og hvis ikke: hvor skal pengene så komme fra? Statskassen?
Mvh.
Klaus.
| |
Søren G. (23-05-2005)
| Kommentar
Fra : Søren G. |
Dato : 23-05-05 09:49 |
|
<Jens-Chr.Engel@get2net.dk> wrote in message
news:8ILje.1125$W96.261@news.get2net.dk...
> Da jeg går ud fra, at Tele2 har e-mailadresser på sine kunder, og kan
finde
> frem til hvem der (på de pågældende tidspunkter, i de tilfælde hvor kunder
> ikke har fast/reserveret IP-adresse), og derfor har mulighed for at ta'
> kontakt, og sende brugere, der måske ikke selv er klar over at de spreder
> virus, en vejledning til fjernelse fx.
Man spreder ikke virus ved at portscanne.
> http://www.mcafee.dk/support/lovsan.php . Tele2 HAR mulighed for at gøre
> noget ved 90% at den uønskede aktivitet, som formodentlig er ulovlig, hvis
> det sker med forsæt om at gøre andre brugeres systemer ustabile: se
> http://www.it-retten.dk/bog/17/01/
Hvordan har det gjort dit system ustabilt ?
> 3. 18-apr-2005: Forelagde Tele2 dik for at 90% at angreb kom fra egen
> IP-pulje samt statistik over mest benyttede IP-adresser, men opfordring
til
> at gøre noget ved problemet, fx. midlertidigt lukke 135. 445 mv. som
> symptombehandling á la hvad man allerede her gjort med post-porten 25.
Hvorfor ønsker du at de lukker for x antal af dine porte ? Du filtrerer jo
trafikken fra.
> 4. 21-apr-2005: Publiceret dokumentation for problemets eksistens,
relevans
> og omfang.
Tror du ikke at Tele2 allerede har statistikker over trafikken på deres
netværk ?
--
Søren
| |
Povl H. Pedersen (23-05-2005)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 23-05-05 19:46 |
|
In article <aiKje.913$wN4.496@news.get2net.dk>, <Jens-Chr.Engel@get2net.dk> wrote:
> 90% af portscanningen på Tele2ADSL's net stammer fra IP'er indenfor Tele2's
> eget adresserum (83.72.0.0 - 83.73.255.255), så ikke blot har ISP MULIGHEDEN
> for at spore og ta' kontakt til Blaster-virus/orme-sprede - de har også
> pligten !
Hvis der sker scanning med kriminelt formål, så er det brud på straffeloven,
og dermed underlagt offentlig påtale. Dvs du skal melde det til politiet
som vurderer om de vil gøre noget.
> DOKUMENTATIONen er i blot i orden OG sendt til ISP i form af bl.a
> nedenstående analyser af logfiler.
Hvad skal de med den i en sag der er underlagt anklagemyndigheden ?
> Jeg har indenfor den seneste uge været udsat for 12.000 angreb, der fordeler
> sig på porte som:
Du skal være klar over, at meget af det ikke er angreb, men idioter.
og man er kun strafbar såfremt det skete med ond hensigt.
| |
Bettina Svendsen (21-05-2005)
| Kommentar
Fra : Bettina Svendsen |
Dato : 21-05-05 19:44 |
|
<Jens-Chr.Engel@get2net.dk> wrote in message
news:98Jje.761$wk3.75@news.get2net.dk...
> Irriteret over portscanning og ISP'er = internetudbydere, der er ligeglade
> ?
>
> En simpel løsning, der før eller siden vil få opmærksomhed og se løsning:
>
> 1. Sæt routeren til det mest paranoide niveau, dvs. slå ALLE filtre fra.
> 2. Indstil routeren til at sende "incoming access logs" til
> internetudbyderen
>
> Ex: ISP=TELE2DK
> 2a. Send til TELE2 ABUSE: get2abu@heisenberg.uni2.net
> 2b. Når de lukker staklens mail, så til: infoadsl@tele2.com
Hmm....Jeg husker forøvrigt hvad man gjorde med den slags mails, som var
auto. De røg temmelig meget i /dev/null - filtre er jo nemme at lave ;)
Mvh,
Bettina
| |
Bjarke Andersen (21-05-2005)
| Kommentar
Fra : Bjarke Andersen |
Dato : 21-05-05 19:56 |
|
<Jens-Chr.Engel@get2net.dk> crashed Echelon writing
news:98Jje.761$wk3.75@news.get2net.dk:
> Irriteret over portscanning og ISP'er = internetudbydere, der er
> ligeglade ?
Hvorfor overhovedet gå op i nogen portscanner, hvis du har husket
tommefingerreglerne for sikkerhed så kan du jo være ligeglad.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
|
|