TOPIC:

Hi All!!

我收到了有关最近所有攻击的日志

2009-12-14T19：40：39 + 08：00信息上一个日志条目重复了1次
2009-12-14T19：40：39 + 08：00低src = 174.36.178.72 dst = 219.74.147.213 ipprot = 17 sport = 11239 dport = 1568检测到UDP端口扫描
2009-12-14T19：40：39 + 08：00信息src = 174.36.178.72 dst = 219.74.147.213 ipprot = 17 sport = 11239 dport = 1568未知入站会话已停止
2009-12-14T19：41：33 + 08：00信息src = 192.168.1.65 dst = 208.43.33.48 ipprot = 1 icmp_type = 3 icmp_code = 3 ICMP Dest无法访问，会话终止
2009-12-14T19：41：33 + 08：00信息src = 208.43.33.48 dst = 219.74.147.213 ipprot = 17 sport = 11243 dport = 1601未知的入站会话已停止
2009-12-14T19：41：33 + 08：00信息上一个日志条目重复了1次
2009-12-14T19：41：33 + 08：00低src = 208.43.33.48 dst = 219.74.147.213 ipprot = 17 sport = 11243 dport = 1601检测到UDP端口扫描
2009-12-14T19：41：33 + 08：00信息src = 208.43.33.48 dst = 219.74.147.213 ipprot = 17 sport = 11243 dport = 1601未知的入站会话已停止
2009-12-14T19：41：33 + 08：00信息上一个日志条目重复了1次
2009-12-14T19：41：46 + 08：00信息src = 192.168.1.65 dst = 67.228.1.166 ipprot = 1 icmp_type = 3 icmp_code = 3 ICMP Dest无法访问，会话终止
2009-12-14T19：41：46 + 08：00信息src = 67.228.1.166 dst = 219.74.147.213 ipprot = 17 sport = 11246 dport = 1604未知的入站会话已停止
2009-12-14T19：41：46 + 08：00信息上一个日志条目重复了1次
2009-12-14T19：41：46 + 08：00低src = 67.228.1.166 dst = 219.74.147.213 ipprot = 17 sport = 11246 dport = 1604检测到UDP端口扫描
2009-12-14T19：41：46 + 08：00信息src = 67.228.1.166 dst = 219.74.147.213 ipprot = 17 sport = 11246 dport = 1604未知的入站会话已停止
2009-12-14T19：42：08 + 08：00信息src = 192.168.1.65 dst = 67.231.240.234 ipprot = 1 icmp_type = 3 icmp_code = 3 ICMP Dest无法访问，会话终止
2009-12-14T19：42：08 + 08：00信息src = 67.231.240.234 dst = 219.74.147.213 ipprot = 17 sport = 11250 dport = 1607未知的入站会话已停止
2009-12-14T19：42：08 + 08：00信息上一个日志条目重复了1次
2009-12-14T19：42：08 + 08：00低src = 67.231.240.234 dst = 219.74.147.213 ipprot = 17 sport = 11250 dport = 1607检测到UDP端口扫描
2009-12-14T19：42：08 + 08：00信息src = 67.231.240.234 dst = 219.74.147.213 ipprot = 17 sport = 11250 dport = 1607未知的入站会话已停止
2009-12-14T19：43：53 + 08：00信息src = 192.168.1.65 dst = 174.36.178.72 ipprot = 1 icmp_type = 3 icmp_code = 3 ICMP Dest无法访问，会话终止
2009-12-14T19：43：53 + 08：00信息src = 174.36.178.72 dst = 219.74.147.213 ipprot = 17 sport = 11239 dport = 1620未知的入站会话已停止
2009-12-14T19：43：53 + 08：00信息上一个日志条目重复了1次

anyone can help me see what the 攻击者 is trying to do?

Hello fishBone.

这是我的分析。

-从第三行开始进行端口扫描，以查看您打开了哪些端口。

-从我从其他日志中看到的"attacker" (why i put 攻击者 in quote is cos some of this application and network monitoring softwares know how to forge attacks, has any one noticed this?) tried same thing over and over again. He or it tries to scan to see what u have opened and may be gets a bounce.

现在让我问一下鱼骨，记录器记录了此条目，您在您的网络还是在工作站上遇到了什么？


干杯。


C0DE-3

从您的日志中可以看到，我只能说任何系统都会遇到的普通端口扫描。只要所有入站连接都被阻止，就可以了。这很烦人，有时还会为管理员带来更多工作。如果您要托管到外部的服务，那么我建议您确保对服务器进行加固并应用补丁，因为大量的portcan应该描述一些东西。"interesting"可用。我会在您的网络外部进行扫描，以查看可见的内容并锁定这是一个问题。

对于内部连接而言，根据大多数报告进行调查也很重要，因为内部威胁也可能是恶意的。 ICMP连接可以是测试服务的出站连接的应用程序或用户。我会在所有系统和网络上进行内部审核，以隔离启动这些出站连接的应用程序/用户。

根据您的环境（公司/家庭），这些风险可能会被视为较高风险。对于公司而言，这应该引起关注。如果是个人/家庭网络，那么这是一种学习的好方法。

我上面的方法没有按顺序排列，但是您可以根据公司的程序进行操作。

祝好运。

-d-

hihi!

talk2sp：您好，感谢您提供的信息，在记录完这些内容后，我在尝试访问网站时没有遇到任何困难或延迟，但是有时我确实会像MSN那样断开连接0.1秒（突然，您与Flash聊天时的图标（例如刷新））。

多纳克：嗨，谢谢！我试图将路由器配置为通过隐身模式忽略这些端口扫描，但是当我使用任何节点键入路由器的IP地址时，它们仍可以进入主页。有什么办法可以完全阻止它们甚至进入路由器的主页？

顺便说一句，我可以使用任何东西/软件查看/扫描路由器的"uncontrolled" ports?

谢谢大家！

鱼骨

顺便说一句，我可以使用任何东西/软件查看/扫描路由器的"uncontrolled" ports?

如果您正在寻找端口扫描仪，那么这里有很多。以下是一些突出之处：

免费IP工具： www.all-nettools.com/network-utilities-2...e-ip-tools-48453.htm

超级扫描： www.snapfiles.com/get/superscan.html

愤怒的IP扫描器： www.angryip.org/w/Home

Lan Spy： lantricks.com/download/

其中大多数还带有其他工具，因此您可能需要稍微使用GUI。

Fish Bone Said -

多纳克：嗨，谢谢！我试图将路由器配置为通过隐身模式忽略这些端口扫描，但是当我使用任何节点键入路由器的IP地址时，它们仍可以进入主页。有什么办法可以完全阻止它们甚至进入路由器的主页？

好吧纠正我，如果我错了，他们如何进入您的路由器主配置页面，并将我们的设置更改为某些内容？

Dlink具有路由器上的所有缺陷，要进入主配置页面确实不容易。 Linksys甚至不敢这样做，特别是当板载Admin不是休眠类型时。兄弟，我希望您能更改设备随附的默认密码。别忘了还要更改默认的访客密码。



C0DE-3