Er det normalt å ha så mange angrep på så kort tid?

[rikkmund]

Angrepene kommer fra ip adresser fra Frankrike, Australia og Universitet i Utrecht Nederland av alle ting. Spiller bare skandinaviske serverer. McAfee Firewall kutter Bf1942 øyeblikkelig denne meldingen kommer uten advarsel. Rapporterte om New tear attack 4 ganger på en snau uke

[delling81]

Vet ikke hvor relevant dette er, men naar jeg hadde oppe en firewall paa "mitt" telenorabb, fikk jeg opp i gjennomsnitt 4-5 portscans hver dag. (brukte snort)

 

Telenor sin ip range er populaer... Mange som ikke vil kjoere Norton internet firewall, fordi de sliter med aa konfigurere den (bl.a min far).

Ergo er det nok en god del daarlige sikrede maskiner ute og gaar.

Noen portscans maa du nok bare regne med...

[striky]

Hvis du sitter i et nettverk (f.eks på et studenthjem), kan dette skyldes at noen på nettverket kjører et program som scanner porter for å se hvilke program som er i bruk.

[a04911]

Hehe, du får nok åpne for port 137 også, så skal du nok se at det minker drastisk på antall "angrep"

[JohndoeMAKT]

kevin costner

John Travolta

[Kel Sha'in]

Hvis du bruker IRC en del så kan det være det som slår ut. Jeg sitter en del på IRC og får i gjennomsnitt 10-12 portskanninger i timen, pluss en del annet rask. Så det er nok en del script-kiddies der ute ja...

Serverne utfører også en del skanninger for å sjekke om du fremdeles lever for å si det sånn. Det slår iallfall ut på ZoneAlarm'en min.

[Agger]

kevin costner

John Travolta

 

Nok usakelige poster. Hvorfor poste disse?

[aurstad]

På min bærbare er det registrert 1900 "angrep" i tiden den har stått tilkoblet på WLAN på skolen (ca 90 timer til sammen) og da er ca 500 "angrep" klassifisert som alvorlige.. Nå er vel kanskje firewallen litt paranoid, men jeg tviler ikke et sekund på at det faktisk er mange som prøver å lure seg inn.

[TettSpaden]

kevin costner

John Travolta

 

Alf Alfa

[DanteUseless]

Hm..

Hva er et "angrep"? Hva er forsøk på "innbrudd"? Osv..

Og hva betyr antallet av disse?

 

Enkelte firewalls er veldig flaky på akkurat dette spør du meg. Derfor kjører jeg selv en tux som logger _alt_ av innkommende connections. (Av og til ut når jeg må logge noe) (Hail to iplog, http://ojnk.sourceforge.net/)

Og med den plaseringen som jeg har, samt de boxene jeg administrerer så ser man uuuutallige "angrep" og "innbrudd" bare på en enkel periode.

De fleste er bare connections som er på villspor, men så er det endel worms, virus, idioter osv som forsøker seg. Dette ser man spesielt godt i loggene til de applikasjonene som faktisk lytter på de gitte portene som man bruker. Eks web-server.

 

dante@nåkandulure:/www/logs$ grep .exe error_log | wc -l

13043

Og det dekker ikke engang alt som er av forsøk.

 

Men poenget mitt var at det å lese slikt uhemma sier veeeeeldig lite. Man må analysere hva som kommer inn, og ikke minst forstå hvorfor.

 

Når det gjelder hvorfor enkelte får mere enn andre; for de som står på attraktive nettverk så er det vel ganske åpentbart? for "den vanlige mann i gata" så er det godt mulig du bare blir scannet, "probet" for vanlige feil av folk, worm og/eller virus. Og hvis man ofte tar imot "rare" connections, så hender det at man har fått ip'en ifra ISP'en som tilhørte en veldig aktiv p2p bruker. (Han hadde samme ip som deg ikke så lenge før deg f.eks).

 

Men å miste nattesøvnen pga lettere paranoia er det ingen vits til =)

Spesielt hvis du ikke kjører endel prosesser som gjør at du faktisk BURDE være paranoid

 

Mine "filosofiske" ord på morgenskvisten

 

-Dante