Поставил snort. Тут же запустил его в режиме IDS. И сразу у меня посыпались сообщения о том, что тот-то сканирует 239.255.255.250. Очень скоро я обнаружил, что число таких сканирующих растет (За три часа доросло до 14). и все на одного. я решил, что червь\вирус у всех, а указаный адрес — цель червя. решил посмотреть, что за ребята им, как я считал, заразились. пустил nmap -vv -sS -O -P0 ip_adr. Потихоньку выяснилось, что там все чаще попадаются системы, у которых не может определиться ОС, или же 2003 Сервер. Но у всех, у кого не определялся тип системы (на самом деле я только штук пять отсканировал) не было по словам nmap ни одного открытого, ни одного закрытого порта. все фильтровались.
Не понимаю, что это может быть! что там и действительно фильтруются все порты? и что за такая активность?
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
к примеру, как вариант, WinXP с установленным SP2.
все порты фильтруются по умолчанию. как входящие, так и исходящие.
и nmap не может обнаружить порты.
а что касается версии системы — то надо попробовать обновить сам nmap. база «отпечатков» систем по данным ip-пакетов постоянно обновляется.
Ну хорошо. Но на самом деле меня больше интересует не то.
что они там все делают и чего их так всех клонит? и впрямь вирус? просто их все растет! и все на один и тот же хост. уже 15.
на самом деле, это — мультикастовый адрес (принадлежит мльтикастовой зоне 224.0.0.0/4), которую, в большинстве случаев, можно и не маршрутизировать наружу.
поспрошай гугль об этом адресе, должно что-то выползти…
Спасибо. понял теперь, в чем дело. только надо еще разобраться, почему snort видит в этом атаку.
У меня команда
nmap -vv -sS -O -P0 ip_adr
выдала :
For OSScan assuming that port 80 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (1), OS detection may be less accurate
О чем это говорит ?
а какое слово надо тебе перевести?
ясно же говорит:
что-то типа
попросту — либо довольно старое nmap, надо бы его обновить.
либо — приняты меры на сервере для сокрытия версии системы.
еще былобы полезно использовать опцию -sV
она снимает банеры с открытых портов, и если сам nmap затрудница с определением ОС то по банерам можно самому уже додумать…
nmap’овскому определению системы можно верить, очень-очень…
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
411/tcp open rmt
445/tcp filtered microsoft-ds
Device type: general purpose
Running: Linux 2.4.X
OS details: Linux 2.4.20 (Itanium)
Два раза линух, три раза Итаниум :D :D :D :D :D :D :D :D
да я тут показывал скан QNX4 как-то. забавненько видеть было результаты… :D