Jump to content
orthodox

Как бороться с ложными сетевыми атаками? KIS 7.0

Recommended Posts

Доброго времени суток, у меня стоит KIS 7.0.0.125 d и при работе µTorrent выдает вот такое см. в приложении, сетевая атака с моего же компьютера, если выключить систему обнаружения вторжений, то для других атак доступ будет открыт. Подскажите пожалуйста чайнику, как решить проблему?

post-69746-1196610542_thumb.jpg

Share this post


Link to post

У меня подобная проблема с ftp сервером: если люди заходят на сервер и начинают копировать большое количество мелких файлов, то КИС сигнализирует об атаке. Связь нарушается. Проверял на соседнем компьютере, это происходит не из-за атаки моего сервера. На сервере разрешены подключения не только к порту 21(20).

Share this post


Link to post

Та же самая проблема и у меня, в том числе на самой свежей сборке KIS, 289.

Аналогичный вопрос: есть ли способы решения, кроме отключения системы обнаружения атак?

Share this post


Link to post

Отключить оповещение об отаках и убрать в IDS блок при обнаружении атаки. :) А вообще, для ФС есть свой продукт.

Share this post


Link to post

А можно поточнее, какие способы? И еще, не ограничивает ли мне доступ к сидерам и пиррам? Или это только сигнализация?

Share this post


Link to post

Вряд ли это ошибка.

 

А можно поточнее, какие способы? И еще, не ограничивает ли мне доступ к сидерам и пиррам? Или это только сигнализация?

 

Способ описан выше.

 

Ограничение доступа к "атакующему" компьютеру возможно, если включена блокировка атакующего.

Share this post


Link to post

Это точно ошибка

 

DoS.Generic.Land! IP-адрес атакующего: 192.168.1.2. Протокол/сервис: TCP на локальный порт 12700

 

192.168.1.2 - это ip сетевой карты, к которой подключен роутер, а 12700 - порт торрент-клиента.

Share this post


Link to post

RussianNeuroMancer

NickGolovko

192.168.1.200 это арес моего компа, модем у меня с роутером, а у компа прописан статический ip адрес, и получается что мой комп атакует хотя приложение проверенное, и этим приложением все пользуются, дампы уже отправил

Edited by Алексей ortho

Share this post


Link to post

Атака Land заключается в посылке пакета TCP SYN (установка соединения) на машину с обратным адресом той же самой атакуемой машины. В результате старые/глючные ОС начинают слать сами себе пакеты, загружая CPU на 100%. MuTorrent же при своей работе получает именно такой пакет - вместо обратного адреса - свой же. Для чего ему такой нужен - ума не приложим, но видимо нужен. Если бы была ОС старая/глючная (типа 9x) - зависла тут же по приему такого пакета. Отличить его от "стандартного" Land мы не можем - в пакете нет никаких сигнатур, порты произвольные... В-общем, выхода два - либо убрать вообще детект Land-а и не защищать старые/глючные ОС, либо защищать, но иметь проблемы с торрентом. Пока вот не определились что лучше.

Share this post


Link to post

А может, если uTorrent добавлен в доверенную зону с пометкой о не контроле сетевой активности, то не реагировать на пакеты посылаемые на порты открытые uTorrent? Или так сделать нельзя?

Share this post


Link to post
А может, если uTorrent добавлен в доверенную зону с пометкой о не контроле сетевой активности, то не реагировать на пакеты посылаемые на порты открытые uTorrent? Или так сделать нельзя?

Пакет-то входящий. Ловится непосредственно на выходе из сетевой карточки. Кому он предназначет - кто ж его знает.

 

Share this post


Link to post

Тогда может не реагировать на такие пакеты, если KIS установлен на ОС, для которой этот пакет безопасен?

Share this post


Link to post
Тогда может не реагировать на такие пакеты, если KIS установлен на ОС, для которой этот пакет безопасен?

+1

Про динамическую защиту уже писали, пусть защищает только от угроз актуальных для каждой конкретной конфигурации.

Share this post


Link to post
В-общем, выхода два - либо убрать вообще детект Land-а и не защищать старые/глючные ОС, либо защищать, но иметь проблемы с торрентом. Пока вот не определились что лучше.

 

А седьмой КИС работает под win98?

Если работает - то уж точно не будет КИС8...

и следовательно - детект этой атаки там как бы не нужен... ;)

 

Share this post


Link to post
А седьмой КИС работает под win98?

Если работает - то уж точно не будет КИС8...

и следовательно - детект этой атаки там как бы не нужен... ;)

 

Дело в том, что IDS базы не зависят от шестого, седьмого, восьмого КИСа итд, они одни и те же на все продукты, начиная с 5.0.227 и до сегодняшнего дня, соответственно они должны работать на всех операционных системах, которые эти продукты поддерживали и поддерживают.

 

Именно поэтому так просто детект этой атаки не уберешь.

 

Share this post


Link to post

Так ведь MP1 на носу, и восьмёрка, может в них реализовать то, что я написал выше?

Edited by RussianNeuroMancer

Share this post


Link to post

не "может", а обязательно нужно. Зачем юзерам ложные угрозы?

Share this post


Link to post

У меня та же проблема. Однако, "атаки" DoS.Generic.Land! появилась только тогда, когда я установил маршрутизатор D-Link серии U (у меня 2600U). На более старой модели D-Link 504T эти атаки замечены не были НИ РАЗУ!!! Вот это и непонятно... когда я с помощью патча попытался увеличить количество полуоткрытых TCP-соединений до 50-ти, то предупреждения об атаках прекратились, но через пару дней появились снова (такое впечатление, что это после установки обновлений Windows от Microsoft, причём отпатченный tcpip.sys затронут не был). Увеличение кол-ва полуоткрытых соединений с 50 до 100 также не дало никаких результатов.

 

Короче, мне так всё надоело... когда же эти глюки закончатся... всё же мне кажется, что виноват клиент uTorrent + маршрутизатор, ведь в uTorrent в параметре "кол-во полуоткрытых соединений" стояло по умолчанию 8, однако проблемы с открытием сайтов возникали до патча tcpip.sys... И при этом в логе появлялось сообщение о превышении лимита tcp-соединений. BitComet же отлично раньше работал и без всяких патчей tcpip, однако его у нас забанили... так... о чем это я... отвлёкся от темы...

 

На форуме D-Link я видел ответ типа "так и должно быть, п2п клиент шлёт много SYN-пакетов".... Но ведь при этом клиент ещё и глючить начинает, не все торренты активные, некоторые со статусом трэкера "connection reset by peer..." :( Как решить проблему - непонятно...

Share this post


Link to post

Вопрос: DoS.Generic.Land! IP-адрес атакующего: 172.20.165.99. - это мой IP - я сам себя атакую? Появляеться при попытке Lanscopе просканировать локальную сеть.

Share this post


Link to post

Возможно ли все таки решить проблему с атакой со своего же IP, описанную выше (DoS.Generic.Land!)?

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.