Lemat, strona domowa Say NO to Microsoft Office broken standard

Ty mnie skanujesz?! To ja Ciebie też!!

Jak wszystkim wiadomo skanowanie portów od czasu "Gier wojennych" jest źle postrzegane. Obecnie tą czarną robotę wykonują wirusy np. Blaster, SQL slamer. Poniżej statystyka aktywności na różnych portach z moich iptablesów:

 4527  371K udp  mport dports 135:139,445
  244 10144 tcp  tcp dpt:21
   32  1312 tcp  tcp dpt:25
 412K   17M tcp  tcp dpts:135:139
24441 1031K tcp  tcp dpt:445
 6748  274K tcp  tcp dpts:1:1023
  931 38574 tcp  tcp dpt:1080
 327K   13M tcp  tcp dpt:1433
  245 10197 tcp  tcp dpt:3128
 401K   16M tcp  tcp dpt:4444
  134  5511 tcp  tcp dpt:4480
  111  4568 tcp  tcp dpt:6588
  207  8697 tcp  tcp dpt:8080
  359 14808 tcp  tcp dpt:17300
   77  3176 tcp  tcp dpt:27374
14893  615K tcp  tcp dpts:1024:65535
  165 71672 udp  state NEW limit: avg 1/sec burst 1
  672 59914 icmp

Legenda:

  1. Liczba pakietów
  2. Liczba M/k/bajtów
  3. Protokół
  4. zakres portów (jeżeli zakres się pokrywa z wcześniejszymi wpisami to oznacza dopełnienie zbioru - wpisy się nie dublują)

Są to wyniki z 14+ dni (z roku 2004).

Jak widać najwięcej jest skanowania na porcie 135 (Blaster i spam z użyciem "Posłańca"), a ponieważ mam na nim -j TARPIT to również na 4444.
Drugi pod względem aktywności jest 1433 czyli ataki na M$ SQL Serwer wirusa SQL slamer.
Oprócz tego jest trochę skanowania udziałów windowsowych, anonimowych ftp, openrelajów, openproxy, wirus Kuang na 17300...
Ostatnio (piszę to 2004-01-15) jest jakby mniej blastera na 135 za to więcej "czegoś" na 445.

Daje to pewne pojęcie jakie zagrożenia niesie za sobą podłączenie kompa do Sieci. Jak widać najwięcej ataków pochodzi z systemów M$ - po prostu lamerstwo niektórych osób sięga dna.

A to są wyniki z drugiego tygodnia stycznia 2007 w formacie (numer portu; protokół; ilość pakietów skanujących):

2 UDP => 7
22 TCP => 68
23 TCP => 2
42 TCP => 2
80 UDP => 10
179 TCP => 11
443 TCP => 19
444 TCP => 1
500 UDP => 84
1026 UDP => 668
1027 UDP => 33
1028 UDP => 6
1029 UDP => 7
1030 UDP => 9
1031 UDP => 5
1032 UDP => 10
1033 UDP => 3
1080 TCP => 23
1434 UDP => 63
1993 TCP => 6
1993 UDP => 3
2100 TCP => 1
2180 UDP => 3
2967 TCP => 171
2968 TCP => 7
3128 TCP => 46
3306 TCP => 2
4081 UDP => 4
4899 TCP => 11
5353 UDP => 2
5900 TCP => 60
5902 TCP => 1
5903 TCP => 3
5990 TCP => 1
6588 TCP => 11
6881 TCP => 1
6881 UDP => 58
7212 TCP => 30
8000 TCP => 19
8080 TCP => 22
10000 TCP => 16
33436 UDP => 6
33440 UDP => 6
49153 UDP => 1

Jak widać obecnie w modzie jest skanowanie ssh (22tcp), szukanie open-proxy (1080,3128,6588,8000,8080tcp), nadal są skanowane MSSQLe (1434udp) i doszedł MySQL (3306tcp), bittorent (6881tcp,udp). Całkowity brak 135-139,445tcp,udp zawdzięczamy tepsie, która odcięła ruch na firewallach.

Data utworzenia : 2003-12-05, data aktualizacji :2007-01-14
Skomentuj ten tekst
2008-03-15 10:12:20LM
Pomiary??
Witam, chcę zrobic te same pomiary na moim kompie, tylko nie wiem jak się do tego zabrać. Może napiszesz jak tego dokonałeś? Byłbym bardzo wdzięczny.
Odp.: iptables -j LOG
2007-12-09 03:40:06kola
port 1026
mozna wiedziec jak wyliczyles ze najwiecej zapytan bylo do portu 22?, w/g twojej tabelki to raczej port 1026 byl wiecej razy odpytywany " 1026 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock, PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów."
Odp.: Chodzi o to, że na tym porcie nie działa żadna usługa. Dlatego go pominąłem.
2007-02-21 23:46:16takitam
Porty...
Chcialem pogratulowac autorowi tej strony - strzal w 10-e Spam blokuje u siebie w sieci dzieki regulkom z tej strony dzialaj super :) Gratulacje ...
2006-05-31 00:28:28DrOOcik
Na czarną listę skanerów
portsentry - odhaszować co potrzeba i po kłopocie. Czasem bywa przewrażliwony, ale skuteczny. BTW - ciekawa strona, tak od Tonida, po grupie mordpliku trafiłem do wielu fajnych sajtów. Miło jest poczytać rady pasjonatów.
2006-03-31 20:53:34daniel10
re alkoholik
alkoholik jak masz pisać takmie bzdury to się nie odzywaj widać internet nie jest dla takich jak ty
wszystkie opinie »
[Nospam-PL.NET]
UWAGA lisy roznoszą wściekliznę!
Protected by spf
© Lemat 2004 - ∞ engine:Lemat
info@seminar.pl.ua przedstawicielstwo@tiscali.it