сабж. Зачем мне эти входящие соединения (не пакеты)? Или пожаловаться в abuse@kaspersky.com?

Сделал запрос через ID Serve от Steve Gibson. Вот что выдаёт:

А то, что сервер "атакует" уже не раз обсуждали здесь на форуме. Жалуются именно Sunbelt, Sygate, и Outpost...

Paul

2 p2u
впечатляет. Можно чуть расшифровать?

ПП "domain name ... not be found", но это сеть KASPERSKY-RTCOMM (81.176.69.64 - 81.176.69.127)

Это мы с вами знаем. Любопытно почему тул Гибсона доменное имя сервера определить не может...

Paul

так его нет - я об этом в сообщении писал - в окне кис Мониторинг сети для этого сервера всегда только адрес

А у вас в КИСе заметны именно "входящие соединения", то есть не ответы на ваши запросы как я понимаю? То, что Sunbelt, Sygate и Outpost называют "сканирование портов"?

Paul

2 p2u
именно

ПП если в idserve указать url forum.kaspersky.com - все путем

Угу. Но это, возможно, редирект какой-то...

Paul

Вот так живешь и не знаешь, что творится у тебя на машине... Да, действительно, есть такое дело в массовой форме:

Click to view attachment

По моим отчетам это фиксируется с 20 числа. Возможно, было и раньше.

Моменты с "Port scan detected" бывали и раньше, но входящие TCP я вижу впервые.

forum.kaspersky.com и есть 81.176.69.85, для которого забыли обратный резолвинг прописать.

Что касается "атак", то варианта два:
- форум действительно пытается инициировать соединение с клиентом;
- это не установочные пакеты tcp сессии, а ответные, не попавшие в установленный диапазон таймаута.

надо б прописать

таймаут исключается - ночью был на форуме, утром соединения

Т.е. вы хотите сказать, что получаете соединения, не находясь на форуме?

именно! Конкретный пример "ночь-утро" по логам:

запрос от меня - 3:50
запрос от форума - 9:18 (включил комп)
запрос от меня - 9:31

Один cookie хватает для этого, Nick. Я раньше уже говорил о действии кукисов и почему их надо ограничивать, но кроме насмешки это ничего не вызывало...

Paul

Paul, я тоже не стал выполнять указанные рекомендации (у меня работа с куками - по умолчанию в ФФ), но ничего подобного я не наблюдаю

Тогда не могу подтвердить в точности: у меня описанное начинается после коннекта с форумом. Это можно видеть по другим записям Activity Monitor.

А вы ведёте запись ВСЕХ исходящих соединений?
Есть ряд обстоятельств при которых такие вещи наблюдаются. Кэш в Windows, кэш в браузере, правила сохранения истории в браузере, закрыли ли вы сессию на форуме или просто так браузер закрыли, и т.п.
P.S.: насчёт "атак": у себя, как я раньше уже говорил, это только наблюдал в Sunbelt, Sygate, и Outpost. Comodo у меня молчит как партизан... Только временами форум опять "тяжёлым" становится...

Paul

Кстати, этой теме место не здесь. Перемещено

Почему куки надо ограничивать мне понятно: нечего одним собирать обо мне инфу, а другим ею пользоваться. А вот как куки могут инициировать входящий конект - очень интересно. Поделись деталями или примерами, pls.

У меня стоит в АХ (пардон, но я привык к этому названию) макс. защита
и для ФФ - разрешен DNS Service и все исходящие TCP потоки, даже родные от КИСули правила отключены

Посмотрел я корпоративные логи за 7 дней.
С 81.176.69.85 было всего 3 TCP пакета на мой IP и то во время тугодумия форума:

Date: 22Oct2007
Time: 11:43:41
Service: 15630
Source: 81.176.69.85
Protocol: tcp
Source Port: http (80)

Date: 22Oct2007
Time: 11:44:07
Service: 15634
Source: 81.176.69.85
Protocol: tcp
Source Port: http (80)

Date: 22Oct2007
Time: 11:44:32
Service: 15639
Source: 81.176.69.85
Protocol: tcp
Source Port: http (80)

Т.е. все пакеты были за пределами таймаута.
Со своей стороны активность от 81.176.69.85 не подтверждаю.

Это на самом деле не Входящий коннект, а ответ на незамеченный файрволом ИСходящий. Одна программка, которая может в этом роль играть - Flash Player. Во-первых он имеет право с каждого сайта (то есть и с третьих стророн!) качать по 100КБ, накапливает весь этот мусор на комп, и индексирует все эти адреса (тоже у вас на компе). Его никто не остановит. Отменить эти настройки по умолчанию можно здесь. Это + наличие куки определённых сайтов достаточно, чтобы вызывать такие коннекты, даже когда ваш браузер ещё не работает... Именно так по-моему работают многие он-лайн атаки с непонятных адресов - это не входящие, а 1 ответ на незамеченные исходящие + начало настоящих атак. Именно поэтому я настаиваю на отключение ненужного функционала в ОС...

Paul

Посмотрел внимательно на свои настройки
В общем у меня и не должно быть этой проблемы

У меня строго ограниченный круг программ, которые считаются достойными для выхода в интернет (и соответсвенно получения данных оттуда)
Попытки остальных без вопросов - режутся

А вы для Флэш плеера когда-нибудь получили алерт? Или он у вас не установлен? (У меня, например, его нет)

Paul

Флэш плеер сделал однажды попытку установится, но я ему не дал...
В общем мне надоело в самый неподходящий момент ловить алерты от стенки...
Потом сел на пару часов, поковырялся в файрволле (и в других компонентах), разрешил все что считаю нужным. И установил макс.защиту...

Кстати от отсутствия флэш-анимации я вообще не страдаю...

В общем я исходил в основном из-за достаточно дорогого трафика, а не из безопастности

ЗЫ. разрешен выход ФФ, качалке и клону аськи... остальные обойдутся...

Тогда настоятельно рекомендую установить дополнение ImgLikeOpera. Сэкономите много трафика! Можно задать разные политики по умолчанию, например:
* грузить картинки только из кэша
* запретить все картинки по умолчанию, и задать исключения для определённых сайтов, и т.д.

Paul

Логика понятна, спасибо за пример!
Вот только, если файрвол не замечает исходящий коннект от плагина браузера или просто плеера, то такой файрвол ставить опасно...



Sunbelt, Sygate, и Outpost - не замечали исходящих?..

Мне кажется, в нашем случае имеет место обычный ASK сессии, воспринятый файрволом как новый пакет по причине выхода за рамки таймаута.

Понятие Outbound Protection по любому - миф. ;) И Flash Player - очень привилегированный плагин - почти с "дипломатической неприкосновенностью"...

Sunbelt уж точно не останавливает ничего. Когда вы получаете алерт в нём об Акробате - пока вы не успели нажать "блокировать", Acrobat Reader уже давно сообщит вам, что имеется обновление...

Я это не говорил. Проблемы
* Flash Player+cookies и
* "сканирование портов" от серверов, которые регистрируются в этих файрволах - отдельные проблемы.
Я тоже думаю, что это связно с внутренними настройками таймаута этих файрволов.

Paul

Давно уже сделано
* Еще размер кэша увеличил до 100Мб
* И один раз по нужному сайту пройтись с Грузить все картинки

Вдогонку: когда вы заходите например на loveplanet.ru, то тогда одновременно выполняется очень много -
* картинки всякие
* куки с разных сайтов вставляются
* скрипты выполняются с разных сайтов (если вы ничего особенного не предпринимаете против этого)
Картинка показывает, что именно выполняется.
Click to view attachment
Имейте в виду, что у меня Flash Player НЕ стоит! Если был бы, то тогда, возможно, ещё больше хлама получилось бы.
Это всё остаётся задействовано в кэше браузера и в кэше Windows!

Paul

как всё оказалось интересно! Тогда дополнительный вопрос - почему только НЕКОТОРЫЕ посещаемые мной сайты (буквально по пальцам) делают или провоцируют всё то, что вы описали, и можно ли сделать что-то со стороны форума, чтоб входящих не было? Со стороны клиента - понятно что, а со стороны сервера?

Форум Касперского, как и форум softboard.ru, форум PCFlank, и другие по безопасности ДДосятся - это не секрет. Далее происходят постоянные попытки зломумышленников влиять на все точки между клиентами и конечного сервера. Возможно эти дела связаны. Как именно это техничекски объяснить - не знаю - просто интуитивно чувствую. То, что вы видите как входящие с 81.176.69.85 может быть совсем неоттуда. Думаю, что сам форум правильно настроен, и что со стороны сервера ничего особенно делать нельзя. Куки убрать или запретить от таких сайтов может влиять. Когда у меня стоял Sunbelt я пробовал разные такие сайты. То разрешил куки - то нет. Разница в поведении отражалась в логах файрвола - без кук было гораздо меньше "атак"!
Кстати - атаки от PCFlank исчезли после того, как вы убрали их куки?

Paul

но ведь поддельные айпи можно ловить? Аутпост ловит (или пытается?). Хотя меня больше интересовали все-таки форумные настройки (свои я знаю). На других форумах с этим движком я такого не заметил. Понаблюдаю еще

ПП то была проверка фланком моего компа Опера ж адрес не показывает А для каждого адреса искать домен и наоборот - очень уж скучно. Только в особых случаях

Пытается. Конечно не принимает такие пакеты, но вы можете увидеть в нём "атаку" с какого-то адреса, которая на самом деле не с указанного адреса...

Paul

Тоже пострадал...
Click to view attachment
Paul

интересному процессу эти входяшие шлются

Дополнительная инфа - первый такой пакет у меня был 19.10 в 21:01 (что было до 17.10 - неизвестно). Щас поймал его в вайршарке (сделал временно узкое разрешающее правило). Вот снимки этих запроса и ответа:
Click to view attachmentClick to view attachment
А вот и сами они, пакеты (формат PCAP) - Click to view attachment

вопрос - а что такое ZeroWindow?

TCP ZeroWindow - Occurs when a receiver advertises a receive window size of zero. This effectively tells the sender to stop sending because the receiver's buffer is full. Indicates a resource issue on the receiver, as the application is not retrieving data from the TCP buffer in a timely manner.

Если я правильно всё понял по картинкам, то тогда получатель (форум) вовремя не успевает обрабатывать и/или проглатывать все данные и сообщает это отправителю (вам). Проблема с ресурсами на сервере короче. ДДосят, скорее всего, как я уже говорил. Форум поэтому, видимо, действительно начинает новое соединение, чтобы сообщить вам, что не успевает; сообщение, которое воспринимается как атаку или "сканирование портов". Картина - ясна...

Paul

и правда. Вот только один момент - возможно, что это сообщение о нехватке ресурсов идет сутки, неделю, месяц... в общем до тех пор, пока я его не приму и не отвечу. Вот с этим можно, наверное, что-то сделать со стороны сервера. А если да - то нужно

Проблема для сервера в том, что все пользователи в сети "невидимки" и их файрволы блокируют такие сообщения (смотрите только на размер пакета). Это "защита" называется. Если файрволы также хорошо блокировали бы ненужные входящие вещи (такие как черви и т.п.), и исходящие (такие как Пинч), то тогда было бы очень хорошо...

Paul

Как это форум "начинает новое соединение"?.. Может клиент повторяет запросы, а форум отвечает, что в массовом порядке только усиливает вероятную атаку?

Файрволы этот ответ воспринимают как НОВОЕ, ВХОДЯЩЕЕ (значит незапрошенное!) соединение... Вот в чём проблема.

Paul

Ну тогда мы говорим об одном и томже.

Foxgen,
ведь TCP statefull в KIS есть (анализ флагов, адресов, портов, времени, фрагментации), так почему бы диагностику не выдавать верную? Типа, "обнаружен TCP с ACK без SYN, при timeout 360 секунд".

Да, в KIS все так и есть ... определяются потоки по флагам, адресам, портам, времени ... есть и таймауты ...
про предупреждения подумаем... Но мне почему-то думается, что это не раньше 8-ки

(после перемещения темы слетела подписка. Ну очень неприятно )

после того, как я вчера все-таки принял этот ломящийся ко мне (несколько дней подряд!) ответ от форума (один пакет!) о нехватке ресурсов - больше (пока!) этих входящих нет

ПП легок на помине! только отослал это сообщение, опять какого-то ресурса на сервере не хватило, и получил три входящих. Не буду разрешать. Пусть живет ВЕЧНО!

прописали домен:спс!