INTERCETTAZIONE ATTACCO

[ertortuga]

Salve nella giornata di ieri ho subito un attacco, individuato dal firewall (vedi immagini di seguito).
Volevo sapere se sapreste spiegarmi di cosa si tratta e darmi qualche link per imparare a capire cosa mi dice il firewall...

thanks!

[Devil!]

praticamente qualche utente ti ha fatto un port scan e il firewall ha bloccato qualsiasi tentativo di connessione proveniente da quell'ip per 2 minuti

[ertortuga]

Quote:

Originariamente inviato da Devil!

praticamente qualche utente ti ha fatto un port scan e il firewall ha bloccato qualsiasi tentativo di connessione proveniente da quell'ip per 2 minuti

Su questo ci sono, ma per esempio dall'IP non posso sapere chi è stato a fare lo scan delle porte, e perchè proprio quelle porte?

[ertortuga]

per la seconda domanda penso che la risposta sia nel nel link che hai postato (a propostito...GRAZIE!)

Da Wikipedia, l'enciclopedia libera.
Vai a: Navigazione, cerca
Il Port Scanning è una tecnica informatica utlizzata per raccogliere informazioni su un computer connesso ad una rete.

Letteralmente significa "scansione delle porte" e consiste nell'inviare rischieste di connessione al computer bersaglio (soprattutto pacchetti TCP, UDP e ICMP creati ad arte): elaborando le risposte è possibile stabilire (anche con precisione) quali servizi di rete siano attivi su quel computer. Una porta si dice "in ascolto" ("listening") o "aperta" quando vi è un servizio o programma che la usa.

Il risultato della scansione di una porta rientra solitamente in una delle seguenti categorie:

aperta (accepted): l'host ha inviato una risposta indicando che un servizio è in ascolto su quella porta
chiusa (denied): l'host ha inviato una risposta indicando che le connessioni alla porta saranno rifiutata
bloccata (dropped): non c'è stata alcuna risposta dall'host
Di per sé il port scanning non è pericoloso per i sistemi informatici, e viene comunemente usato dagli amministratori di sistema per effettuare controlli e manutenzione. Rivela però informazioni dettagliate che potrebbero essere usate da un eventuale attaccante per preparare facilmente una tecnica mirata a minare la sicurezza del sistema, pertanto viene posta molta attenzione dagli amministratori a come e quando vengono effettuati port scan verso i computer della loro rete. Un buon amministratore di sistema sa che un firewall ben configurato permette alle macchine di svolgere tutti i loro compiti, ma rende difficile (se non impossibile) la scansione delle porte.

[BravoGT83]

Quote:

Originariamente inviato da ertortuga

Su questo ci sono, ma per esempio dall'IP non posso sapere chi è stato a fare lo scan delle porte, e perchè proprio quelle porte?

poi fare il backtrace dell'IP....

vanno a caso con le porte cercano una porta libera per vedere il tuo pc

[ertortuga]

c'è anche in Outpost il becktrace? Lo ricordavo su Sygate non su Outpost...cmq ora controllo...

Ma da quello che c'è scritto su Wikipedia lo scan delle porte non è proprio "casuale" le porte vengono scelte per capire quali sono i servizi attivi e quali no e al limite studiare un attacco...sbaglio?

[BravoGT83]

Quote:

Originariamente inviato da ertortuga

c'è anche in Outpost il becktrace? Lo ricordavo su Sygate non su Outpost...cmq ora controllo...

Ma da quello che c'è scritto su Wikipedia lo scan delle porte non è proprio "casuale" le porte vengono scelte per capire quali sono i servizi attivi e quali no e al limite studiare un attacco...sbaglio?

dovrebbe averlo anche Zone alarm

magari sul tuo modem o router quelle porte sono aperte ma per fortuna poi outpost gli blocca

[ertortuga]

uso un modem 56k...quello in sign

PS non trovo il "backtrace" in Outpost

[BravoGT83]

strano

[Devil!]

se l'utente che ti ha fatto il port scan sa il fatto suo probabilmente quello non è il suo vero ip e magari si appoggia a proxy o altri utenti ignari...

inoltre c'è da dire che spesso questi port scan sono ad opera di malware e virus installati su pc di utenti incosapevoli che contribuiscono, senza difendersi, a veicolare virus e worms.

[ertortuga]

Quote:

Originariamente inviato da Devil!

se l'utente che ti ha fatto il port scan sa il fatto suo probabilmente quello non è il suo vero ip e magari si appoggia a proxy o altri utenti ignari...

inoltre c'è da dire che spesso questi port scan sono ad opera di malware e virus installati su pc di utenti incosapevoli che contribuiscono, senza difendersi, a veicolare virus e worms.

interessante...

Cmq a parte questo "backtrace" che su Outpost non riesco a trovare, c'è possibilità di risalire dall'indirizzo IP alla persona che ha effettuato il port scan?

[BravoGT83]

Quote:

Originariamente inviato da ertortuga

interessante...

Cmq a parte questo "backtrace" che su Outpost non riesco a trovare, c'è possibilità di risalire dall'indirizzo IP alla persona che ha effettuato il port scan?

solo con backtrace

[ertortuga]

ok!
Cmq, gli attacchi continuano...







...anche sel il primo indirizzo IP mi sembra di aver letto da qualche parte che corrisponde a mes stesso...ho detto una cavolata?

[Devil!]

qualche info la puoi avere da qui: http://visualroute.visualware.com/

[ertortuga]

ti ringrazio, molto gentile...

[Radagast82]

127.0.0.1 (altresì detto localhost) è l'indirizzo ip della tua scheda di rete... non è un attacco vero e proprio, dovrebbe essere una sorta di controllo dello stato della scheda... non linciatemi se ho detto boiate. Cmq per divertirti un po, vai su grimsping.cjb.net e scaricati il prg per pingare, ci infili dentro l'ip di quello che ti ha fatto port scan e gli rendi il favore... anche se con un modem a 56kakka non so se ne vale la pena

[ertortuga]

ok!
Ma non mi va di fare port scan...

[BravoGT83]

vai di scan

[Stereogab]

Quote:

Originariamente inviato da Radagast82

vai su grimsping.cjb.net...

attenzione a winfixer su quel sito

[ertortuga]

Quote:

Originariamente inviato da Stereogab

attenzione a winfixer su quel sito

cos'è?