Виды атак и как с ними бороться

[Lis]

Привет всем! Вчера зашел на один "гостеприимный" варезный сайтец в итоге с первых минут были просканированы порты( у меня стоит Outpost )
далеев течении 10 минут 3 или 4 раза была произведена Rst атака, прошу объяснить что это такое и как с ней бороться . Адрес этого сайта morenews.ru

[zanoza]

Вот что это такое
1. "пакеты сбpоса соединения (RST)"
2. "Модуль слежения системы RealSecureT может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак."
3. Для идентификации TCР-пакета в TCP-заголовке существуют два 32-разрядных идентификатора, которые также играют роль счетчика пакетов. Их названия - Sequence Number и Acknowledgment Number. Также нас будет интересовать поле, называемое Control Bits.

Это поле размером 6 бит может содержать следующие командные биты (слева направо):

URG: Urgent Pointer field significant
ACK: Acknowledgment field significant
PSH: Push Function
RST: Reset the connection
SYN: Synchronize sequence numbers
FIN: No more data from sender

Отсюда следует, что Rst-пакет - это пакет закрытия TCP/IP соединения.

[zanoza]

Проблемы в большинстве существующих реализаций TCP Позволяют легко осуществить ранее считавшиеся малореальными атаки на отказ с использованием флага RST. Как известно, при передаче информации по протоколу TCP первым делом происходит установка сессии, формируется некий стартовый номер последовательности (ISN, initial sequence number), который в дальнейшем, последовательно увеличиваясь, присутствует в поле Sequence number каждого передаваемого пакета. Угадывание правильного номера последовательности и использование его в поддельных пакетах - голубая мечта атакующего, омрачаемая необходимостью выбора одного из 2 в 32-й степени вариантов.

TCP является протоколом с гарантией доставки, следовательно, для каждого пакета должно быть получено подтверждение его приема. На самом деле все не совсем так - в TCP используется так называемый механизм скользящего окна, позволяющий более эффективно использовать канал, не дожидаясь подтверждения каждого отправленного пакета. Под окном понимается как раз максимальное количество пакетов, которые могут быть отправлены без подтверждения.
В ответ на несколько полученных пакетов с последовательными номерами получатель возвращает отправителю пакет с установленным флагом ACK, занося в поле Acknowledgement number порядковый номер следующего ожидаемого пакета. Комбинация флагов RST и ACK предназначена для обрыва существующего соединения. Обрабатываться пакет с RST должен немедленно, не дожидаясь прихода других пакетов, для проверки его подлинности, согласно RFC 793, могут использоваться как Sequence, так и Acknowledgement number.
Проблема заключается в том, что при получении такого пакета большинство существующих реализаций TCP проверяют его подлинность только по значению Sequence number, причем значение это проверяется на попадание в диапазон, заданный величиной окна, что резко увеличивает вероятность его угадывания. Таким образом, чем больше размер окна, и чем дольше существует установленная сессия, тем больше шансов у злоумышленника осуществить атаку на отказ, отправляя пакеты с флагом RST и поддельным обратным адресом.
Похоже, что самым подходящим кандидатом на роль жертвы для подобных RST-атак являются маршрутизаторы, использующие протокол BGP (практически самый популярный протокол междоменной маршрутизации), в котором для рассылки обновлений таблиц маршрутизации используются постоянные TCP-соединения. Для уменьшения вероятности подобных атак рекомендуется включить режим использования MD5-подписей, а при отсутствии такой возможности - хотя бы снизить размер используемого окна.

[DemonXT]

Подключился дома к локальной сети. Свтал вопрос с выбором Фаервола. Какой можете посоветовать?

[Dizzi]

DemonXT, Эта тема не по твоему вопросу.!!!
http://www.nowa.ru/showthread.php?t=426
Выбирай из всего что там есть..

[eeoopptt]

Возможно глупый вопрос, но все же.
А тип подключения (если можно так выразиться) имеет значение для атакующих? Я имею ввиду, что пользуюсь подключением компа через GPRS с использованием точки доступа wap. Просто тариф безлимитный и оператор позволяет такое подключение (IP используется в этом случае как прокси-сервер).
Просто вот сколько лазаю по варезникам, ни разу не было никаких атак (в том числе и с вышеуказанного адреса). Файерволл - последний Оутпост. А вот раньше, когда пользовался точкой доступа internet, атаки бывали. Или это просто мне сейчас так везет?

18:11:11 Узел провозглашает себя шлюзом. Узел 255.255.255.255 (00-14-2A-AA-12-F5) провозглашает себя шлюзом вместо 192.168.0.1 (00-08-A1-83-24-27).
Agnitum Outpost FireWall v.3.5.641.6214
Сеть локальная без администратора. Что это вообще такое и как с этим бороться?

[Хавьер]

А что по этому поводу скажете?

17.12.2007 20:02:37 Intrusion.Win.DCOM.exploit 172.19.110.232 TCP 135
17.12.2007 20:47:41 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.56.218 TCP 445
17.12.2007 20:53:12 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.93.183 TCP 445
17.12.2007 21:00:04 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.11.206 TCP 445
17.12.2007 21:11:30 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.31.249 TCP 445
17.12.2007 21:18:47 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.121.98 TCP 445
17.12.2007 21:19:00 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.122.184 TCP 445
17.12.2007 21:26:37 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.51.121 TCP 445
17.12.2007 21:26:50 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.52.123 TCP 445
17.12.2007 21:33:31 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.1.210 TCP 445
17.12.2007 21:34:42 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.122.15 TCP 445

Интернет Секьюрити 7.0

[Мордег]

Цитата: Сообщение от Хавьер А что по этому поводу скажете? 17.12.2007 20:02:37 Intrusion.Win.DCOM.exploit 172.19.110.232 TCP 135 17.12.2007 20:47:41 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.56.218 TCP 445 17.12.2007 20:53:12 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.93.183 TCP 445 17.12.2007 21:00:04 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.11.206 TCP 445 17.12.2007 21:11:30 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.31.249 TCP 445 17.12.2007 21:18:47 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.121.98 TCP 445 17.12.2007 21:19:00 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.122.184 TCP 445 17.12.2007 21:26:37 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.51.121 TCP 445 17.12.2007 21:26:50 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.52.123 TCP 445 17.12.2007 21:33:31 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.1.210 TCP 445 17.12.2007 21:34:42 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 172.19.122.15 TCP 445 Интернет Секьюрити 7.0

А что тут говорить? У твоих соседей по сетке вирус в системе и он хочет заразить всё в округе путем эксплуатации уязвимостей в компонентах Windows. Лучший вариант - зайти к ним в гости с антивирусом, например CureIT от DrWEB. А еще лучше попросить их установить антивирусный монитор в систему. Бесплатного вполне хватит. Ветка соответствующая на форуме есть.
Вот для примера:

Win.DCOM.exploit - червь Lovesan

Lsass.asn1-kill-bill.exploit
Уязвимость подвержены:
Windows 2000 sp4
Windows XP sp1
Симптомы: отсутсвует связь с компьютерами рабочей сети, компьютер не видит Master Browser, куча запростов на 445 порт с перебором ip адресов. Компьютер может уходить в перезагрузку из за отключения службы lsass.
Если не установлены заплатки на windows, то никакой антивирус (nod32, drweb) не поможет, защитит только настроенный firewall.
Как лечить:
1. Ставим обновления: KB835732, KB921883 (для Win2000)
2. Удаляем запись в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32
3. Перезагружаемся
4. Удаляем файл c:\WINNT\system32\mszsrn32.dll
5. Еще можно запустить антивирус в поисках bot[1].dll Эта dll может находится в \Documents and Settings\Default User\Local Settings\Temporary Internet Files

Софт который пригодится:
TcpView
AUTORUNS
Browstat.exe из Resource Kit

Взято отсюда:http://virusinfo.info/showthread.php?t=9235

Добавлено через 3 минуты

Цитата: Сообщение от DemonXT Подключился дома к локальной сети. Свтал вопрос с выбором Фаервола. Какой можете посоветовать?

Если уверен, что у тебя вирусов нет в системе - оставь виндовый. Если не доверяешь или нужно что-то специально блокировать - читай тут

Добавлено через 8 минут

Цитата: Сообщение от eeoopptt Возможно глупый вопрос, но все же. А тип подключения (если можно так выразиться) имеет значение для атакующих? Я имею ввиду, что пользуюсь подключением компа через GPRS с использованием точки доступа wap. Просто тариф безлимитный и оператор позволяет такое подключение (IP используется в этом случае как прокси-сервер). Просто вот сколько лазаю по варезникам, ни разу не было никаких атак (в том числе и с вышеуказанного адреса). Файерволл - последний Оутпост. А вот раньше, когда пользовался точкой доступа internet, атаки бывали. Или это просто мне сейчас так везет?

Тип подключения никак не влияет. Сейчас ты сидишь за NAT, а раньше, видать, получал реальный IP. На роутере полюбому стоит фаер который режет все входящие (не инициированные тобой) соединения.

[Хавьер]

Цитата: Сообщение от Мордег А что тут говорить? У твоих соседей по сетке вирус в системе и он хочет заразить всё в округе путем эксплуатации уязвимостей в компонентах Windows. Лучший вариант - зайти к ним в гости с антивирусом, например CureIT от DrWEB. А еще лучше попросить их установить антивирусный монитор в систему.

А что делать если иннет спутниковый и я даже незнаю у кого из соседей иннет имеется...?

[raavladimir]

Цитата: 18:11:11 Узел провозглашает себя шлюзом. Узел 255.255.255.255 (00-14-2A-AA-12-F5) провозглашает себя шлюзом вместо 192.168.0.1 (00-08-A1-83-24-27). Agnitum Outpost FireWall v.3.5.641.6214

Вот-вот, аналогичная история. Кто нибудь знает что это?

[sunny_wolf]

Цитата: 8:11:11 Узел провозглашает себя шлюзом. Узел 255.255.255.255 (00-14-2A-AA-12-F5) провозглашает себя шлюзом вместо 192.168.0.1 (00-08-A1-83-24-27). Agnitum Outpost FireWall v.3.5.641.6214

команда arp -a может выдать какой ip соответствует этому mac-адресу сетевой карты. Также можно сканировать время от времени сеть чтоб выявить у какого ip этот адрес. Если в сети есть админ (а он должен быть по идее если сеть более чем несколько компьютеров) - то передать это сообщение ему и пусть разбирается. Кто-то упорно пытался снифить сеть.

[intkz]

21:59:04 71.76.246.0 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (22107)

У меня Outpost FireWall Pro 2009
В дедекторе атак все поставил на блокировку атакующих.
Уровень защиты поставил максимальный.
Приатаке собщит визуально и звуковый.
Но какой такой сообщение не было .
И вот журнале запись такой полно.
Что это значить.

[kassten]

Детектор атак. Вещь несомненно полезная. Включаем оповещалки и всплывающие сообщения с блокировкой атакующего (без подсети). Заходим в настройки.
Ethernet. Модуль которому до сих пор многие вендоры завидуют. Включаем все кроме последнего пункта. В настройках портов все оставляем, а вот в настройках атак отключаем обнаружение сканирований порта/портов. Пользы от него минимум, фолсы могут быть (например торрент), да и неправильно настроенное сетевое оборудорвание провайдера также может восприниматься фаером как угроза.

[zweriuga]

OPF Pro 2009 6.5.2355
Детектор атак периодически ругается на IP 0.0.0.0
14:29:35 0.0.0.0 Узел заблокирован на 30 мин. ARP_SCAN
Подскажите, что за узел?