firewall che blocca porta 1900 senza applicazione

domi78 · 23-10-2004, 03:18

ciao, ho installato da poco sygate personal firewall 5.5

io mi connetto ad internet tramite ruoter US Robotics con firewall.

non capisco parecchi messaggi nel log del traffico pero uno in particolare mi incuriosisce.

spesso infatti il firewall mi blocca la porta 1900 in Incoming dal mio router (anche lui dalla porta 1900) all'indirizzo 239.255.255.250

la cosa curiosa e' che non c'e' nessun nome di applicazione.

qualcuno sa cosa puo essere?

altri dati sono l'occurency molto alta 323 ( non so cosa identifichi questo valore)

grazie ciao

Pardo · 23-10-2004, 11:23

Quote:

spesso infatti il firewall mi blocca la porta 1900 in Incoming dal mio router (anche lui dalla porta 1900) all'indirizzo 239.255.255.250

e` uno dei tanti worm, non ti preoccupare

domi78 · 24-10-2004, 14:28

questo warm ha un nome??

perchè arrivano pachetti di questo tipo molto frequentemente. mi domando percio se non avessi il firewall cosa succederebbe? (fino a pochi giorni fa non lo avevo)

ho provato a fare una backlist -> whois e pur non sapendo leggere tutte le informazioni ottenute, il nome IANA, BLACKHOLE-1.IANA.ORG,... appare frequentemente.

sono molto insperto e qualunque puo aiutarmi ad aumetare le mie conoscenze.

grazie ciao

P.S.

Pardo · 24-10-2004, 15:03

http://www.cert.org/advisories/CA-2001-37.html

Nel whois esce iana perche` quell'ip fa parte di un blocco riservato (quindi e` stato falsificato all'origine).

domi78 · 25-10-2004, 09:20

ho letto gli articoli postati e anche le informazioni sul sito microsoft. sulla vulnerabilità di UPnP e sulla patch per risolverla.

ho notato pero' che la data di uscita della patch e' del 2001 e non si riferisce a WIN XP SP1.

io ho SP1 e penso che una patch critica dovrebbero averla inserita nel service pack (potrei sbagliarmi)

sempre per aumentare le mie scarse conoscenze ti chiedevo se tu hai capito che e' un warm dal nome dell'applicazione che non c'era, dall'indirizzo o dalla porta che era coinvolta?
Oppure probabilmente dall'insieme delle informazioni?

non potrebbe essere il router che mi manda un pacchetto UPnP? immagino di no perche' l'indirizzo IP e' esterno.

e ancora: se tramite il registro di sistema dico di accettare solo messaggi UPnP dalla rete locale lo vedrei ancora questo pacchetto incoming? presumo di si.

infine, ultima domanda, questo attacco mi ha preso di mira oppure tantissimi utenti lo sono in questo momento?
nel senso e' un nuovo warm che sta girando in questi giorni oppure e' in giro dal 2001 da quando e' stata scoperta la vulnerabilità?

23-10-2004, 03:18	#1
domi78 Senior Member Iscritto dal: Jul 2003 Città: modena Messaggi: 648	firewall che blocca porta 1900 senza applicazione ciao, ho installato da poco sygate personal firewall 5.5 io mi connetto ad internet tramite ruoter US Robotics con firewall. non capisco parecchi messaggi nel log del traffico pero uno in particolare mi incuriosisce. spesso infatti il firewall mi blocca la porta 1900 in Incoming dal mio router (anche lui dalla porta 1900) all'indirizzo 239.255.255.250 la cosa curiosa e' che non c'e' nessun nome di applicazione. qualcuno sa cosa puo essere? altri dati sono l'occurency molto alta 323 ( non so cosa identifichi questo valore) grazie ciao

24-10-2004, 14:28	#3
domi78 Senior Member Iscritto dal: Jul 2003 Città: modena Messaggi: 648	questo warm ha un nome?? perchè arrivano pachetti di questo tipo molto frequentemente. mi domando percio se non avessi il firewall cosa succederebbe? (fino a pochi giorni fa non lo avevo) ho provato a fare una backlist -> whois e pur non sapendo leggere tutte le informazioni ottenute, il nome IANA, BLACKHOLE-1.IANA.ORG,... appare frequentemente. sono molto insperto e qualunque puo aiutarmi ad aumetare le mie conoscenze. grazie ciao P.S.

24-10-2004, 15:03	#4
Pardo Senior Member Iscritto dal: Dec 2000 Messaggi: 1187	http://www.cert.org/advisories/CA-2001-37.html Nel whois esce iana perche` quell'ip fa parte di un blocco riservato (quindi e` stato falsificato all'origine).

25-10-2004, 09:20	#5
domi78 Senior Member Iscritto dal: Jul 2003 Città: modena Messaggi: 648	ho letto gli articoli postati e anche le informazioni sul sito microsoft. sulla vulnerabilità di UPnP e sulla patch per risolverla. ho notato pero' che la data di uscita della patch e' del 2001 e non si riferisce a WIN XP SP1. io ho SP1 e penso che una patch critica dovrebbero averla inserita nel service pack (potrei sbagliarmi) sempre per aumentare le mie scarse conoscenze ti chiedevo se tu hai capito che e' un warm dal nome dell'applicazione che non c'era, dall'indirizzo o dalla porta che era coinvolta? Oppure probabilmente dall'insieme delle informazioni? non potrebbe essere il router che mi manda un pacchetto UPnP? immagino di no perche' l'indirizzo IP e' esterno. e ancora: se tramite il registro di sistema dico di accettare solo messaggi UPnP dalla rete locale lo vedrei ancora questo pacchetto incoming? presumo di si. infine, ultima domanda, questo attacco mi ha preso di mira oppure tantissimi utenti lo sono in questo momento? nel senso e' un nuovo warm che sta girando in questi giorni oppure e' in giro dal 2001 da quando e' stata scoperta la vulnerabilità?

Strumenti
Mostra una versione stampabile Invia questa pagina per email