Jump to content
Sign in to follow this  
Nikita_T1

Запросы на порт chargen — сетевая атака?

Recommended Posts

Добрый день. Домашний компьютер, проводной интернет от крупного провайдера. Поступают входящие запросы в виде UDP-пакетов на порт chargen (19), до нескольких раз в секунду с одного IP (таких IP может быть несколько одновременно, из разных стран по всему миру). При включенном KIS (защита от сетевых атак работает, выбран вариант «Контролировать все сетевые порты») компьютер отправляет отклик Destination unreachable (простые службы TCP/IP не установлены, порт по умолчанию закрыт). При включённом встроенном брандмауэре Windows XP такой отклик не отправляется.

 

Должен ли KIS определять такие множественные запросы как сетевую атаку?

 

Windows XP SP3

KIS 14.0.0.4651(h)

Share this post


Link to post

Добрый день, Nikita_T1,

 

Необходимо уточнение касательно причины отправления этих пакетов, судя по всему Вы знаете, какой программой\сервисом они вызваны. Регистрируются эти пакеты в отчетах KIS?

 

 

Share this post


Link to post
Добрый день, Nikita_T1,

 

Необходимо уточнение касательно причины отправления этих пакетов, судя по всему Вы знаете, какой программой\сервисом они вызваны. Регистрируются эти пакеты в отчетах KIS?

 

Процесс представлялся как System. Пакеты в отчетах KIS не регистрировались.

21.08.2014 был создан запрос в техническую поддержку INC000003422350.

Edited by Nikita_T1

Share this post


Link to post

Уважаемый, Nikita_T1,

 

В скором времени Вам ответят в запросе на Ваши вопросы. Ожидайте ответа.

 

 

Share this post


Link to post

подниму тему. с тех пор как провайдер Beeline перешёл с l2tp на pppoe, меня регулярно бомбардируют с разных айпишников пакетами на 19 порт (Chargen).

 

установлен KIS 2016, винда XP Pro (лицензия) со всеми обновлениями, в том числе теми, которые вышли уже после окончания поддержки (стоит патч POSReady). при включенном KIS комп отвечает, бомбардирование пакетами продолжается, иногда усиливается (идёт сразу с нескольких узлов), 1-2 раза в день интернет отваливается (иногда просто перестают грузиться сайты, иногда вообще желтый восклицательный знак на значке сетевого подключения появляется), приходится ребутать комп.

 

службу "простые службы TCP/IP" я погасил и отключил, но это почему-то никак не повлияло на наличие ответов на пакеты на 19 порт.

попробовал явно запретить в KIS любую активность на всех портах этой службы через настройки сетевого экрана - задал пакетные правила для TCP и UDP полный запрет входящих и исходящих на 7, 9, 13, 17, 19 портах.

но это всё равно не помогает.

 

если выключить KIS и вместо него включить Брандмауэр Windows, то комп перестаёт отвечать на входящие пакеты, тогда через какое-то время бомбардирование пакетами постепенно затихает и прекращается.

 

обмен пакетами видно, если открыть свойства сетевого подключения - пакеты идут пачками в обе стороны. также видно какие именно пакеты и что за узлы через утилиту CommView.

при этом через другие утилиты, мониторящие сетевую активность (CurrPorts, TCPView), их не видно!

 

p.s. обновить винду до более свежей версии не предлагать.

Edited by cyrix_dx40

Share this post


Link to post

Добрый день,

 

В данной ситуации необходимо посмотреть дополнительные логи, а именно wireshark + трассировки KIS. Лучше всего это сделать в рамках запроса в ТП: https://my.kaspersky.ru

 

В случае возникновения затруднения - напишите мне в личку с номером запроса.

Share this post


Link to post

спасибо за ответ!

 

я извинияюсь, ошибся с версией KIS, т.к. писал по памяти.

установлен у меня KIS 2015 (15.02.361c).

 

в общем ситуация на данный момент такая: позвонил провайдеру, пожаловался на атаку на 19 порт. провайдер сказал "давате попробуем обратно на l2tp вернуться" и сбросил мне сессию авторизации.

я приехал домой с работы, загрузил комп, заново авторизовался на pppoe, чтобы снять трассировки KIS и и логи CommView (это программа, аналогичная WireShark), но бомбардировка пакетами больше не повторяется. :huh:

 

толи для применения новых правил в сетевом экране KIS нужна была перезагрузка, толи службу "простые службы TCP/IP" не достаточно было просто остановить, надо было ещё и ребутнуться (возможно она частично продолжала висеть в памяти, хотя в списке процессов её не было), толи смена внешнего айпишника временно помогла, толи провайдер у себя на оборудовании предпринял таки какие-то шаги, но факт, что уже 3.5 часа работаю и пока никаких следов пакетов на 19 порт нет.

 

если опять проявится - напишу. думаю в ближайшие 2-3 дня станет ясно, будет повторение проблемы или нет.

Edited by cyrix_dx40

Share this post


Link to post

вот уже три дня как комп работает 24x7, больше атак на 19 порт не замечено.

видимо одно из проделанных мероприятий помогло:

- отключить службу "Простые службы TCP/IP", перезагружить комп

- прописать запрет на входящие и исходящие по 7,9,13,17,19 портам в сетевом экране KIS

- пожаловаться провайдеру :lol:

 

смена IP-адреса вряд ли сыграла роль, т.к. в процессе атак я менял IP-адрес как минимум один раз, но это не помогло.

 

Share this post


Link to post

А почему вообще по умолчанию стоит "Контролировать выбранные порты", а не все? Многие тут пишут, что переустанавливают галочку на контроль всех портов. При контроле всех могут проблемы возникнуть или лучше сразу галку переставлять?

Share this post


Link to post
Добрый день. Домашний компьютер, проводной интернет от крупного провайдера. Поступают входящие запросы в виде UDP-пакетов на порт chargen (19), до нескольких раз в секунду с одного IP (таких IP может быть несколько одновременно, из разных стран по всему миру). При включенном KIS (защита от сетевых атак работает, выбран вариант «Контролировать все сетевые порты») компьютер отправляет отклик Destination unreachable (простые службы TCP/IP не установлены, порт по умолчанию закрыт). При включённом встроенном брандмауэре Windows XP такой отклик не отправляется.

 

Должен ли KIS определять такие множественные запросы как сетевую атаку?

 

Windows XP SP3

KIS 14.0.0.4651(h)

 

 

Параметры сетевого экрана->Настроить пакетные правила - > Запретить Any incoming ICMP и переместить на самый верх

Share this post


Link to post
Думаю могут. У меня (кажется на 2014 версии) из-за этой настройки ("Контролировать все порты") были проблемы с отправкой торрент-клиентом статистики на трекеры,вернул на по умолчанию. Порты это дело такое,тонкое.

У меня на пяти пк стоят winXP SP3 32-bit КИС 2014 и на всех стоит галочка контролировать все сетевые порты.

И ни разу ни одной проблемы ни с раздачами торрентов ни с чем-то иным не было. Ничего тонкого в этом нет. ;)

Наверное при проблемы с раздачами могут быть из-за неграмотных настроек самого торрент-клиента и/или настроек в самой ОС (типы сетевых подключений и т.д. и т.п.) и/или настроек маршрутизатора и/или от провайдера. И уж в самом конце возможно некорректных настрое КИСа - в чем я сильно сомневаюсь.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.