|
||
|
Power Member
 加入日期: Nov 2002
文章: 611
|
夭壽喔~~無聊人士在掃PORT
剛剛有3~4個不同IP在30分鐘內用NMap Xmas Scan在掃我PORT...
雖然都被NIS2003防火牆檔下,但還是怕怕的.... 我認為是同一個無聊人士,因為IP都差不多,可是我去追蹤來源卻查不到,不曉得IP:80 開頭的是哪一家ISP業者!? 好像跑驢子時都特別會遇到有人利用TCP 來源通訊埠:4662埠,去掃其他TCP 目的地通訊埠,請問遇到這種情形時怎麼辦...只要防火牆開著就行了嗎?? 大家說說吧~~~ 如下: 入侵: NMap Xmas Scan 入侵者: 80.134.118.70 風險等級: 高 來源 IP 位址: 80.134.118.70 目的地 IP 位址: XXXXXXXXXXXX TCP 來源通訊埠: 4662 TCP 目的地通訊埠: 4596 TCP 標頭旗標: 0x00000039。 這些 TCP 旗標無效,且封包具有 NMap Xmas 掃描的特徵。 入侵: NMap Xmas Scan 入侵者: 80.129.238.21 風險等級: 高 來源 IP 位址: 80.129.238.21 目的地 IP 位址: xxxxxxxxxxxxxxxxxx TCP 來源通訊埠: 4662 TCP 目的地通訊埠: 3372 TCP 標頭旗標: 0x00000039。 這些 TCP 旗標無效,且封包具有 NMap Xmas 掃描的特徵。 等... |
|||||||
2003-11-13, 12:16 PM
#1
|
|
|
Power Member
加入日期: Nov 2002
文章: 611
|
靠~~剛打完文章又來了....
怎麼辦..一一"",決定把網路先切掉了!!! 這次反過來TCP 來源通訊埠: 2596 TCP 目的地通訊埠: 4662 入侵: NMap Xmas Scan 入侵者: 80.142.187.46 風險等級: 高 來源 IP 位址: 80.142.187.46 目的地 IP 位址: xxxxxxxxxxxxxxxxxxxx TCP 來源通訊埠: 2596 TCP 目的地通訊埠: 4662 TCP 標頭旗標: 0x00000039。 這些 TCP 旗標無效,且封包具有 NMap Xmas 掃描的特徵。 |
||
|
2003-11-13, 12:20 PM
#2
|
|
|
Elite Member
  加入日期: Oct 2002
文章: 4,789
|
http://www.ripe.net/perl/whois?query=80.142.187.46
80.128.*.*~80.146.*.*同一掛 情況真的很嚴重的話 IN CASE OF HACK ATTACKS, ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.
__________________
天之道,損有餘而補不足 人之道則不然,損不足以奉有餘 |
|
2003-11-13, 12:53 PM
#3
|
|
|
Power Member
加入日期: Nov 2002
文章: 611
|
還真的是同一卦...謝謝喔...那E_MAIL是德國電信業者的!?
算了~~只怕他是跳板,寄了也沒用..... 我剛剛把IP:80.0.0.0~80.255.255.255用NIS2003防火牆把這區段全限制住,限制沒多久,又跑來一個入侵者,如下: 入侵: NMap Xmas Scan 入侵者: 217.234.221.81 風險等級: 高 來源 IP 位址: 217.234.221.81 目的地 IP 位址: xxxxxxxxxxxxxxxxxxx TCP 來源通訊埠: 3506 TCP 目的地通訊埠: 4662 TCP 標頭旗標: 0x00000039。 這些 TCP 旗標無效,且封包具有 NMap Xmas 掃描的特徵。 這次又是用同一種方式掃PORT,只是IP區段換了217開頭,喔~~~他不煩喔..... 好險NORTON也擋住了....而我也把217.234.221.81給限制了... 後來就沒有再煩我了....只怕哪一天他又心血來潮狂掃....一一"" P.S這無聊人士也很笨耶~~這掃PORT程式已經有點舊了,雖然還是高危險級,但每家防火牆都擋的住阿~~ |
|
2003-11-13, 01:33 PM
#4
|
|
|
Power Member
加入日期: Aug 2003 您的住址: 台灣
文章: 609
|
用防火牆把其他沒有用到的PORT給關了!
只留80 PORT以及必要的PORT,其他沒有用到的全關了 我就是這樣做的!
__________________
如果沒有AMD的努力 或許我們還在用昂貴的處理器和電腦! 還記得386時代有過5年不降價嗎? 大家想讓歷史重演嗎? 請大家多多支持超微半導體!  MAXTOR不透過建達 直接送修原廠的方法 
|
|
2003-11-13, 08:04 PM
#5
|
|
|
Elite Member
加入日期: Jan 2002 您的住址: 米缸中
文章: 8,886
|
引用:
除非有開站 , 否則連 80 也關掉 .. 80 是讓人家進來的 , 不是出去的 , 所以關掉 80 , 不會造成瀏覽網頁的困擾 . 不過我想版主的問題 , 是因為有開過了 E-DONKEY 的軟體 , 關掉後 , IP 紀錄 還留在伺服器上 , 所以別人的 edonkey 還想連到你這邊 , 而不是用入侵軟體 再找你的漏洞吧 ... |
|
|
2003-11-14, 03:36 PM
#6
|
|
|
Power Member
加入日期: Nov 2002
文章: 611
|
騾子用那麼久了還沒遇過昨天發生的是,第一次看到疑似 NMap Xmas Scan高危險入侵者,而且還30分鐘內以不同IP前後攻擊25次(經過查詢都是同一德國ISP),所以我把那間IP攻擊區段全封了....
至於關掉用不著的PORT,說真的我功力沒那麼深厚,只知道一些,怕有後遺症,還是算了,防火牆勉強檔一檔.... 這時代防毒跟防火牆都要一起來阿~~~~ |
|
2003-11-14, 07:04 PM
#7
|
|
|
Major Member
加入日期: May 2001 您的住址: 台北
文章: 130
|
以前barboo都會使用 blackice 來擋一些無聊的人..
但是, 買了 IP分享器後, DI-604 .. 就把BLACKICE 移掉了, 也不用撥接了.. 因為 該擋的都擋掉, 不該擋的也擋. 使用到 EMULE 時 再把某些PORT打開就可.. 方便, 又無煩腦 
__________________
|
|
2003-11-14, 08:12 PM
#8
|
|
|
Power Member
加入日期: Nov 2002
文章: 611
|
其實我也有裝IP分享器耶,有內建簡易硬體防火牆,型號是PCI-BRL-04A~~
只是真實IP指向我專用的電腦,也有開啟DMZ.... 所以有裝IP分享器,雖然在分享器後面,但也只能擋部份吧!! |
|
2003-11-14, 10:06 PM
#9
|
|
|
Power Member
加入日期: Mar 2003
文章: 680
|
每次跑eMule我都將xp的連線防火牆關了, 約一週總會有一到貳次會出現CPU使用率100狂操的情行發生(乾脆重灌xp), 這是否就是無聊人士在掃PORT? 還只是中了病毒? 但開了防火牆下載又很慢........誰能教我並解釋PORT?
|
|
2003-11-14, 10:28 PM
#10
|
|
