Firewall logs

[Airfan]

Ако може някой да ми обясни какво значи това и дали администраторите са прави, че проблема е от моя файъруол.

 

1304 02/19/2004 20:43:52 Mac Spoofing Minor Incoming None 217.10.241.1 00-EE-B1-05-06-1F

 

1305 02/19/2004 20:44:52 Mac Spoofing Minor Incoming None 217.10.241.1 00-EE-B1-05-06-1F

 

1306 02/19/2004 20:45:52 Mac Spoofing Minor Incoming None 217.10.241.1 00-EE-B1-05-06-1F

 

1307 02/19/2004 20:45:53 Mac Spoofing Minor Incoming None 217.10.241.1 00-90-AB-65-61-40

 

1308 02/19/2004 20:45:54 Mac Spoofing Minor Incoming None 217.10.241.1 00-EE-B1-05-06-1F

 

Това представляват логовете ми от 2 седмици насам. Интересното е, че на един друг компютър със същите настройки на същата програма не дава нищо, но там IP-то започва с 212.ххх.ххх.ххх

Програмата няма настройка да спира интернета при откриване на интрудъри.

 

Показва още:

Unsolicited incoming ARP reply detected, this is a kind of MAC spoofing that may consequently do harm to your computer.

 

Packet data is shown in the right window.

 

И също така:

0000: 00 50 FC 9C 1A D0 00 EE : B1 05 06 1F 08 06 00 01 | .P..............

0010: 08 00 06 04 00 02 00 90 : AB 65 61 40 D9 0A F1 01 | .........ea@....

0020: 00 50 FC 9C 1A D0 D9 0A : F1 17 00 00 00 00 00 00 | .P..............

0030: 00 00 00 00 00 00 00 00 : 00 00 00 00 | ............

 

 

Програмата е Sygate Personal Firewall Pro, като се има предвид, че 217.10.241.1 се води моят gateway.

[wickedsmile]

не си само ти...

и аз ползвам Sygate-a и непрекъснато получавам или Port Scan, MAC Spoofing, Active Response, Intrusion Detection System .... от най-различни локални адреси, тоест тези от 212.104.104.* . според мен има няколко обяснения:

 

1. някой се опитва да види какво има shared в мойто ПЦ

2. разни хакери ме хакват (малко вероятно)

3. заразени ПЦ-та със саморазпространяващи се вируси. например: teekids.exe (виж тук) ... аз лично бях до скоро заразен с такъв вирус!!! (много вероятно)

 

 

аз викам всеки да се прегледа за вируси, пък после ще видим дали няма и хакери =)

[tedy]

точно. аз съм с ZoneAlarm, и получавам и други видове 'атаки', както се споменава в много теми тука, постоянно ми мига иконата долу за блокирани опити за достъп, особено на портове 80 (от гейт.евроком.нет), и 135 (явно Бластера още души и то яко).

Т.е. този твоя лог как да го разбирам, този ИП адрес демек те 'атакува' нали? Защото ако е така, явно от ЕК така сканират дали някой не е пуснал сървър на порт 80, както ти казах и моите логове изобилстват от такива неща с гейт.евроком.нет на порт 80 (бтв няма ли в логовете и номера на портове?).

И аз започвам с 217. но наистина май 212-тиците не ги сканират, което ми се струва странно.

[Godfather]

Не забравяйте, че голяма част от подобни логове може да е пълна с т.нар. "False Positives" или фалишиви попадения - програмата мрънка за нещо, което в дествителност не е такова, за каквото се представя (или както се казваше в един култов сериал: "Совите не са това, което са", мухахаха )

 

Всичко зависи от конфигурацията на firewall-а и от типовете пакети, блъскащи се в нея

[sMARTBomber]

Ми да и най елементарния шум по мрежата може да се таксува като Хакерска атака от файъруол-а. Затова махай всички аларми и го остави тихо да си спира квото може, а ако не успее да го спре... едва ли ще ти е нужна аларма за това - ти ще го усетиш и без нея...

[Airfan]

Значи правя уточнение. В случая не става дума за сканиране за отворени портове, тогава дава Port Scan и изброява сканираните портове. В случая е Mac Spoofing, като интересното е че МАК адресите, от които идват опитите са 2, като единия е струва ми се, МАК-а на гейтуейя, а другия ми излиза в логовете като 217.10.241.1 и 212.104.109.52

Има нещо гнило в цялата работа, само не мога да разбера в мен ли е проблема или не е в мен.

Тази програма има няколко вида логове, които са за различни неща. Целия неннужен трафик се пренасочва в специален лог, този който ви копирах, е Security Log, в който уж са истински сериозните неща.

[Godfather]

Значи правя уточнение. В случая не става дума за сканиране за отворени портове, тогава дава Port Scan и изброява сканираните портове. В случая е Mac Spoofing, като интересното е че МАК адресите, от които идват опитите са 2, като единия е струва ми се, МАК-а на гейтуейя, а другия ми излиза в логовете като 217.10.241.1 и 212.104.109.52

Има нещо гнило в цялата работа, само не мога да разбера в мен ли е проблема или не е в мен.

Тази програма има няколко вида логове, които са за различни неща. Целия неннужен трафик се пренасочва в специален лог, този който ви копирах, е Security Log, в който уж са истински сериозните неща.

Единственото гнило нещо в случая е конфигурацията, която води то тези логове

Промени си конфигурацията, за да не ти ги дава тези неща.

На практика MAC spoofing в еврокомската мрежа не може да стане (поне не толкова лесно, както в кварталните LANове, мухахаха ) и това си е чиста проба "излишно дрънкане" на файъруола.

[tedy]

това ми напомня на ситуацията с heuristics analysis при антивирусните програми. На файруола му се струва, че определена комбинация от пакети е опит за spoofing, което едва ли ще е така, особено от гейтуея.

Аз преди имах проблем с UPnP услугата на виндовс, не знаех за нея, и някой ме атакуваше наистина, в Нетуърк кънекшънс ми се появяваше допълнителна икона на някакви мрежови устройства със съмнителни имена, които ту се появяват, ту изчезват. Явно някой се опитваше да прави някакви номера, или пък наистина просто е част от шума в ЕК.

Чудно защо само при теб се появяват, при същите настроики както казваш а при другия комп не..

[Airfan]

Godfather малко преди да започнат предупрежденията интернетът спира. Значи все пак не е съвсем нищо.А и както казах конфигурацията не е променяна от както е инсталирана и настроена програмата преди няколко месеца. Всичко започна преди 2-3 седмици.

 

Ти каква антивирусна препоръчваш?

В наличност освен Sygate имам още Kerio personal firewall, BlackIce PC Protection. Чудя се коя от тези ще е най-добрата.

[Godfather]

Godfather малко преди да започнат предупрежденията интернетът спира. Значи все пак не е съвсем нищо.А и както казах конфигурацията не е променяна от както е инсталирана и настроена програмата преди няколко месеца. Всичко започна преди 2-3 седмици.

 

Ти каква антивирусна препоръчваш?

В наличност освен Sygate имам още Kerio personal firewall, BlackIce PC Protection. Чудя се коя от тези ще е най-добрата.

Интернета ти спира точно заради това - firewall-а "заподозрява" Default gateway в "измами" и го резва, по-точно теб те отрязва от него. Познай кога ще имаш нет без default gateway.

 

Не мога да ти кажа за настройките - точно тази програмка не съм я ползвал, но прицнипно нещата трябва да са така.

Аз лично използвам Kerio personal firewall (разбира се това е на лаптопа ми, иначе на входа на мрежата стоят едни съвсем други нещица). Преди това ползвах ZoneAlarm, ако ми се бъзика и имам време, може и тази да я разгледам.

[tedy]

а за да го заподозре, не трябва ли и преди това да е имало подобни логове от което фаруола да се е 'поучил' и да спре нета, а сега след като блокира тези опити малко след спирането на нета преди 2 седмици, защо не е резнат, а има нет? Наистина ми е чудно.

Ако си готово да си смениш файруола, пробвай Zonealarm, аз съм с нея от около 2-3 години без да съм имал проблеми.

[Airfan]

Сега му сложих допълнително правило да блоква директно двата МАК-а, които, според мен не са на гейтуейя + целия IP-рейндж на моя сегмент с изключение на моето IP.

Ще видя как ще се държи сега и ще пиша по-късно ако се появи отново. Но все пак има нещо.... не мислиш ли?

Все едно гейтуейя да си сменя постоянно МАК адреса, някак не е нормално, струва ми се

 

Edit: tedy за ZoneAlarm има прекалено много експлойти и ми се струва не съвсем надеждна. Но това е лично мое мнение де. За сега ще оставя с новите настройки и ако пак има нещо ще пиша и ще сменя програмата да видим какво ще стане.

[Godfather]

а за да го заподозре, не трябва ли и преди това да е имало подобни логове от което фаруола да се е 'поучил' и да спре нета, а сега след като блокира тези опити малко след спирането на нета преди 2 седмици, защо не е резнат, а има нет? Наистина ми е чудно.

Защото правилото за "резване" е временно - действа минути или часове, зависи какви са натройките

 

@Airfan, така повече ще замоташ нещата - просто премахни частта за spoofing от IDS-а, уверявам те, няма кой да те спуфва

Head-end-а на кабелната система е сложна машина, която си има доста и IP и MAC адреси

[Airfan]

9999 секунди е блокирането на интрудър, но факт е, че почти веднага отново има уорнинг.

Както и да е, за сега го оставям така. В неделя заминавам за Бургас и няма да мога да пиша, но после ще пиша какво е станало докато ме е нямало.

[NEFARIOUS]

Ei,verno li? NE znaeh 4e EK skanirat za serveri na port 80...Za kvo?