Jump to content
asf

Пакеты на порт 60171 из KASPERSKY-RTCOMM

Recommended Posts

Хм...выходит,везде во всём виноваты производители стороннего ПО?Так выходит?Что их "неправильность виновата во всём",и т.п.?Я так понял?

 

Share this post


Link to post

Самое странное,только что смотрел у себя,КИС стоял,некоторая активность замечалась,удалил КИС - есть обмен пакетами по этому адресу,вот только на такие порты:

04.01.2009 0:59:49    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Incoming    Allowed    C:\Program Files\Opera\opera.exe    
04.01.2009 0:59:49    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Outgoing    Allowed    C:\Program Files\Opera\opera.exe    
04.01.2009 0:59:49    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Outgoing    Allowed    C:\Program Files\Opera\opera.exe    
04.01.2009 0:59:49    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Incoming    Allowed    C:\Program Files\Opera\opera.exe    
04.01.2009 0:59:49    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Outgoing    Allowed    C:\Program Files\Opera\opera.exe    
04.01.2009 0:59:49    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Incoming    Allowed    C:\Program Files\Opera\opera.exe    
04.01.2009 0:59:48    forum.kaspersky.com [81.176.69.85]    80    Мой_IP    1336    Incoming    Allowed    C:\Program Files\Opera\opera.exe

1336 теперь входящий порт.

KIS каким-то образом на это влияет?

 

Edited by Просто_Юзер

Share this post


Link to post
установить с машиной пользователя соединение по собств. воле.

Это необязательно, конечно. Скорее нет, чем да; многие пользователи же за 'колхозным' IP? Такой вид атак (если это уже атака) в таком случае не имеет смысла потому что железно блочится файрволом провайдера. Нет - атакующие сами ничего не инициируют, в этом как раз и прикол. Соединение инициируется у пользователя и обходит регистрацию файрволом исходящих пакетов - это 100%; будто он - зомби какой-то. Вопрос только в том - чем или кем это вызывается? Если что-то 'заливается' или 'залилось', то тогда это уже просто во время обычной пользовательской сессии было, а не в отдельной входящей атаке после этой сессии. Тот факт, что файрволы такие тупые, что этого не замечают - на то и 'Outbound Protection' относительный бред, конечно... :)

P.S.1: Не только Outpost этим страдает, кстати. И в самой KIS было замечено costashu на следующее утро (?!?)

И далее, я это раньше уже говорил, Sygate, Kerio, Comodo, Online Armor, и ещё какими-то там 'супер-файрволами'...

P.S.2: Я НИКОГО не обвиняю, пусть это будет всем ясно - мне просто интересно как явление. В Винде много загадочных явлений; она регулярно обходит сама себя (That's not a bug Sir, it's a feature ©), и, естественно, программ защиты, которых на ней установлены - не случайно я отключил/удалил 3/4 функционала... Далее есть ещё фактор кривой маршрутизации у многих провайдеров, и вообще многие из них даже не удовлетворяют требованиям безопасного DNS, в следствии чего любая машина может быть перенаправлена куда угодно... :)

P.S.3: Страдает этим не только форум Касперского, я хочу заметить. Ещё целый ряд форумов, где обсуждается тема компьютерной безопасности. Будто они сами жертвами чего-то являются. Ответ найдётся, я так думаю, если изучать подробнее hop'ы. Очень, ну очень надеюсь, что моя машина не участвует в ДДос-атаках против каких-либо серверов. С моей стороны, я делаю всё возможное, чтобы этого не было.

 

Paul

Edited by p2u

Share this post


Link to post

Клиенты некоторых провайдеров часто получают не предназначенные им сетевые пакеты. Я не могу точно сказать, в чем причина таких явлений, но совершенно очевиден тот факт, что пакеты для одного компьютера могут попадать на другой компьютер и там отражаться брандмауэром. Я лично каких только пакетов не получал за время работы - причем идущих с ресурсов, на которых я никогда не был, и предназначенных для программных продуктов, которых у меня никогда не стояло. И это все зависит именно от провайдера, а не от конфигурации ПО.

Share this post


Link to post
Я лично каких только пакетов не получал за время работы - причем идущих с ресурсов, на которых я никогда не был, и предназначенных для программных продуктов, которых у меня никогда не стояло.

А вы регистрируете каждое соединение, даже исходящее?

Прочитайте, например эту страницу:

DefenseWall от Ильи Рабиновича, Выделено из "Бесплатные HIPS"

Это известный вам ресурс anti-malware, но давайте посмотрим, куда ваш браузер ещё ходит (и остаётся в течение сессии!)

Даже если вы на vkontakte.ru ещё не были, то тогда это теперь ваш первый раз (можно проверить с помощью netstat). Подсказка; это из-за юзер-бара Deja-Vu, но это не просто загрузка картинки, видимо - ваш браузер будет там висеть некоторое время (пока вы не переходите на страницу, где нет этого юзер-бара. О да, и забыл: www.pcmag.ru ещё. Вы там сами были? Если вы не так тщательно блокируете контент как я, то тогда ваш браузер ходит чёрт знает куда, и это уже не зависит от вас. Добавляем к этому чудесные свойства кэша (если вы его не отчищаете после каждой сессии) + куки (если вы их не блокируете), и всё... Это не паранойя - просто наблюдения... :)

 

Paul

Edited by p2u

Share this post


Link to post

Да, конечно, у меня запрашиваются все соединения на неизвестные брандмауэру адреса. На странице с Anti-Malware еще будет счетчик от Google, ему я тоже не даю работать.

Share this post


Link to post

У меня последнее время никаких "атак" Outpost не фиксирует. После переустановки (не обновления) драйвера Realtek, вообще нет предупреждений детектора атак. Чисто как в аптеке. А раньше постоянно что-то фиксировалось. Может быть проблема, всё-таки, не в Outpost? И не в KIS?

Edited by hu-long

Share this post


Link to post
Может быть проблема, всё-таки, не в Outpost?

 

В проблемах с Outpost'ом я сам тоже не очень верю, хотя на новой системе может быть 'бага' не срабатывает. И если это уже бага, то тогда она прекрасно производится с другими файрволами. Тогда уже пора писАть менее дырявый код всем. :D

 

Проблемы маршрутизации у провайдера - вполне возможно, хотя почему их после установки Винды у вас нет?

 

И полностью исключать то, что по дороге от нас к серверу и обратно что-то неладное происходит тоже нельзя. Мне, например, требовалось 5 минут (только что) для того, чтобы соединиться, хотя anti-malware, virusinfo и другие (американские и немецкие сайты) мгновенно реагировали на мой запрос. На форуме не так уж много посетителей оказалось, чтобы сервер мог бы быть перегружен...

 

О глюках Винды - уже не буду...

 

Paul

Share this post


Link to post

Чисто теоретически злоумышленник мог подсадить бота на сервер, но это в высшей степени маловероятно.

Share this post


Link to post
Чисто теоретически злоумышленник мог подсадить бота на сервер, но это в высшей степени маловероятно.

Осталось узнать кто злоумышленник(если так и есть).

Share this post


Link to post
Чисто теоретически злоумышленник мог подсадить бота на сервер, но это в высшей степени маловероятно.

А чуть менее теоретически это совсем даже необязательно. :)

 

Допустим, что мы действительно имеем дело со злоумышленником, и что не сам форум, а 'клон' его 'атакует' нас. Проблема может быть где-то здесь или чуть до этого:

5     2 ms    10 ms    3 ms  msk-bgw1-ae0-344.rt-comm.ru [195.161.157.69]
6     2 ms     3 ms     2 ms  msk-dsr7-ge1-0-0-0.rt-comm.ru [217.106.0.62]
7     2 ms     2 ms     2 ms  msk-dsr7-ge1-0-0-0.rt-comm.ru [217.106.0.62]
8     2 ms     2 ms     2 ms  forum.kaspersky.com [81.176.69.85]

 

Допустим, что там где-то перехватывается трафик. Стандартные утилиты трассировки маршрутов могут не показывать дополнительные 'скачки', но домен хостера rt-comm.ru имеет определённую историю как 'дом для спаммеров'; этого отрицать нельзя. Если перехватить хоть один ваш пакет-запрос на этом пути, то тогда злоумышленник получит адрес отправителя, и тогда отправитель получит якобы с адреса forum.kaspersky.com (81.176.69.85) ответ на этот запрос, или, что ещё хуже - действительно (как файрволы сообщают) пакет превращается в 'входящий' пакет. Нормальный файрвол, естественно понимает, что пакет не соответстветствует нормам, и сообщает, что вас 'атакуют'. Понимаю, что это совсем дикий вариант, но...

 

Paul

Edited by p2u

Share this post


Link to post
А вот про исходящие UDP вопрос никто не поднимал? Не подскажете?

Про исходящие udp ответили тут:

http://forum.kaspersky.com/index.php?showtopic=76676

типа работа проактивной защиты, запрашивает хеши доверенных программ и не отсылает ничего личного

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.