Постійні атаки.

[ART]

Так вот. Agnitum Outpost Firewall Pro 2008 постійно видає мені, що мене атакує один ІР, який знаходить в моїй сеті.

І так раз 100 на день

Спочатку в нього був ІР: 10.42.0.207

МАК: 00-1E-8C-C8-B6-C3

А тепер він змінив його на

ІР: 0.0.0.0

МАК: 00-1E-8C-C8-B6-C3

Так в чому собсно питання!

Знаю можна через ваер воол заблокувати, але що ще можна зробити?. Щоб більше ні до кого не ліз

[kudrom]

слухай, в мене теж так вчора ввечері було!

і айпі щось схоже здається...

[irokez]

перевір цю машину на віруси. колись було таке. запускаються процеси LSASS і SMSS, а разом з ними системні lsass і smss (здається так). кароче вірусню шукай.

[ART]

Незнаю. В мене стоїть NOD32 3.0 кожен день нові бази. Може то просто хакер самоучка. і біля часу ночі це перестає, шо вірус спати йде???

[irokez]

Незнаю. В мене стоїть NOD32 3.0 кожен день нові бази. Може то просто хакер самоучка. і біля часу ночі це перестає, шо вірус спати йде???

а може він компутер біля часу ночі виключає і всьо норм стає.

[ART]

Так тоді є питання: чому змінився ІР? чому тільки мене атакує?

[Yurik]

Я б подзвонив на Датагруп і розповів їм дану ситуацію, а вже б вони знайшли метод як настукати по шапці юному хакеру. Або культурно взнати адрес хацкера з даною ІР адресою

[ART]

Звонив сказали: "Хай собі атакує.Нічим допомогти не можемо.Якщо хочете звертайтеся у міліцію"

[Harddriver]

Cкорше всього тебе ізбіратєльно хакають.

Коли творять нового бот-нета картина інша - "клюне" разок-два, і "слєдующій".

Хоча "дири" бувають різні, і способів "пробити" віндовий стек - теж достатньо.

Якщо Оутпост побачив атаку, він її і відбив. Для повного заспокоєння можеш перевіритися AVZ

[Slayer]

єсть така фігня мені здаєтсья і в моїй подсетці (37). я то юзаю IPFW і постійно відфутболює когось...

але найбільше наламую те що інет (сеть) лягає на хвилину як коли, і на протязі дня саме цікаве замітив кожну годину в 5-20 хвилин перших, один раз засидівся після 00.00 - все гуд було звязок стабільний. а то наламують розриви постійно... незнаю свою тачку прошманав вже авз, курейтом хз короче....

а думав спочатку що можливо в датагруп на сервачках перегрузка мо стоїть але врядлі

[Harddriver]

Звонив сказали: "Хай собі атакує.Нічим допомогти не можемо.Якщо хочете звертайтеся у міліцію"

Прально, крий дири. Скочай вінду, що авторизуэться на M$ і ...

[D@ve]

Заблокуй того шустріка файерволом і все. Може він і не здогадується, що з його машини такі атакі йдуть.

[serega]

єсть така фігня мені здаєтсья і в моїй подсетці (37). я то юзаю IPFW і постійно відфутболює когось...

але найбільше наламую те що інет (сеть) лягає на хвилину як коли, і на протязі дня саме цікаве замітив кожну годину в 5-20 хвилин перших, один раз засидівся після 00.00 - все гуд було звязок стабільний. а то наламують розриви постійно... незнаю свою тачку прошманав вже авз, курейтом хз короче....

а думав спочатку що можливо в датагруп на сервачках перегрузка мо стоїть але врядлі

Не перегружений, запасу є море.

Найбільша ймовірність що це віруси які роблять щось типу MITM атаки з метою перенаправити трафік атакованого через себе з ціллю просніфати той трафік на наявність логінів і паролів що гуляють відкритим текстом. На всяк випадок пропиши статично MAC адресу шлюза і заблокуй прийом пакетів типу "arp reply".

Є ще інший варіант вирішення: заблокувати можливість абонентам обмінюватись трафіком між собою але тоді втрачається сама суть "домашніх мереж".

[Slayer]

2serega

Я з фаєрвол ще не дуже розбирався з правилами і тупо вліпив

00130 276 39094 deny ip from 10.37.0.0/24 to 10.37.0.***

ну а перед ним тільки на шлюз разрешающе і всё, але всеодно пропадає.

пропиши статично MAC адресу шлюза

arp -s 10.37.0.1 00-30-48-80-14-7b - правильно забабахав? кста це помагає від Арп спуфінга да?

заблокуй прийом пакетів типу "arp reply".

а це не андерстенд

10.37.0.111 - з нього в 21.13 був АРП спуфінг або щось похоже, бо мак адрес був ідентичний шлюза, і як раз в момент як пропала сеть. як Мак забити статікою щоб після перегрузки не ставав динамічним?

[mix_forever]

Не МАК, а АйПі. Мак у кожної карточки унікальний, хоча його і мона підмінити.

[serega]

Не МАК, а АйПі. Мак у кожної карточки унікальний, хоча його і мона підмінити.

Віруси це успішно роблять.

[beliar87]

Не МАК, а АйПі. Мак у кожної карточки унікальний, хоча його і мона підмінити.

Віруси це успішно роблять.

Да Серега нада потихеньку на Linux перебиратись там менше дир....

Вірусів менше ніж під вінду.

[serega]

Це не мені треба радити.

[Romko87]

Хто це такий цікавий?

Вже 17 разів проситься в гості

[fog]

Поставте собі роутери і сховайтесь за NAT

[ptk]

Відносно роутера, то є шанс шо дешеві роутери при активних атаках будуть просто лягати...

якшо брати роутер то треба шось з дорожчиг шоб був захис від різних атак...

[CESAR]

Поставте собі роутери і сховайтесь за NAT

Да і не забудьте відповідно їх налаштувати ,запаролити.......