nixp.ru v3.0

27 мая 2017,
суббота,
03:34:23 MSK

DevOps с компанией «Флант»
propeller написал 25 августа 2005 года в 19:27 (239 просмотров) Ведет себя как мужчина; открыл 53 темы в форуме, оставил 158 комментариев на сайте.

Поставил snort. Тут же запустил его в режиме IDS. И сразу у меня посыпались сообщения о том, что тот-то сканирует 239.255.255.250. Очень скоро я обнаружил, что число таких сканирующих растет (За три часа доросло до 14). и все на одного. я решил, что червь\вирус у всех, а указаный адрес — цель червя. решил посмотреть, что за ребята им, как я считал, заразились. пустил nmap -vv -sS -O -P0 ip_adr. Потихоньку выяснилось, что там все чаще попадаются системы, у которых не может определиться ОС, или же 2003 Сервер. Но у всех, у кого не определялся тип системы (на самом деле я только штук пять отсканировал) не было по словам nmap ни одного открытого, ни одного закрытого порта. все фильтровались.

Не понимаю, что это может быть! что там и действительно фильтруются все порты? и что за такая активность?

Genie

к примеру, как вариант, WinXP с установленным SP2.

все порты фильтруются по умолчанию. как входящие, так и исходящие.

и nmap не может обнаружить порты.

а что касается версии системы — то надо попробовать обновить сам nmap. база «отпечатков» систем по данным ip-пакетов постоянно обновляется.

propeller

Ну хорошо. Но на самом деле меня больше интересует не то.

что они там все делают и чего их так всех клонит? и впрямь вирус? просто их все растет! и все на один и тот же хост. уже 15.

Genie

на самом деле, это — мультикастовый адрес (принадлежит мльтикастовой зоне 224.0.0.0/4), которую, в большинстве случаев, можно и не маршрутизировать наружу.

поспрошай гугль об этом адресе, должно что-то выползти…

propeller

Спасибо. понял теперь, в чем дело. только надо еще разобраться, почему snort видит в этом атаку.

anonymous

У меня команда

nmap -vv -sS -O -P0 ip_adr

выдала :

For OSScan assuming that port 80 is open and port 1 is closed and neither are firewalled

Insufficient responses for TCP sequencing (1), OS detection may be less accurate

О чем это говорит ?

Genie

а какое слово надо тебе перевести?

ясно же говорит:

Insufficient responses for TCP sequencing (1), OS detection may be less accurate

что-то типа

Недостаточно ответов для последовательностей TCP, определение ОС может быть более неточным

попросту — либо довольно старое nmap, надо бы его обновить.

либо — приняты меры на сервере для сокрытия версии системы.

jespl

еще былобы полезно использовать опцию -sV

она снимает банеры с открытых портов, и если сам nmap затрудница с определением ОС то по банерам можно самому уже додумать…

Flash

nmap’овскому определению системы можно верить, очень-очень…

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

80/tcp open http

135/tcp filtered msrpc

137/tcp filtered netbios-ns

138/tcp filtered netbios-dgm

139/tcp filtered netbios-ssn

411/tcp open rmt

445/tcp filtered microsoft-ds

Device type: general purpose

Running: Linux 2.4.X

OS details: Linux 2.4.20 (Itanium)

Два раза линух, три раза Итаниум :D :D :D :D :D :D :D :D

Genie

да я тут показывал скан QNX4 как-то. забавненько видеть было результаты… :D