Ciągłe skanowanie portów 137,138..

Witam, korzystam z FW Comodo i ostatni czasy zauważyłem, że Ciągle próbuje ktoś (coś) nawiązać połączenie po owych portach (137,138) czasem są to też inne.
w jaki sposób mogę to zabezpieczyć ?
w Comodo wyskakuje mi że Usługa jaka za to odpowiada to "system" (logiczne z resztą..)
Nie będę ukrywał, że to męczące..

Z góry dzięki za odp

W/w porty są używane przez systemy Windows do komunikacji wewnątrz sieci - udostępniania plików itd. Portów tych używa np. usługa Posłaniec służąca do komunikacji pomiędzy komputerami w sieci (net send). Niestety na tych portach (zarówno wprzez protokół tcp i udp) rozprzestrzeniają się również wewnątrz sieci różnego rodzaju wirusy, backdory i inne cuda z zaśmieconych komputerów. Istnieje także możliwość dokonania ataku np. poprzez zfałszowanie nagłówka pakietu i podszycie się pod jeden z komputerów w danym otoczeniu sieciowym. Większość administratorów sieci blokuje te porty w celu ograniczenia ataków, podobnie czynią firewalle.
Sytuacja ta dotyczy także portu 445 (SMB).

U ciebie firewall wykrywa podejrzany ruch na tych portach. Mogą to być próby ataków ale raczej nie ze strony użytkowników tylko wirusów znajdujących się na ich komputerach i próbujących dostać się na twoją maszynę. Bardzo często jest to również próba skanowania twoich portów z innego komputera, w celu stwierdzenia które z nich są otwarte i następnie wykorzystania ich do ataku. To zazwyczaj także robią wirusy, jednakże domorosłego "hakera" wykluczyć nie można.

Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..
Na moim komputerze (jak i drugim w sieci domowej) na pewno nie ma żadnych szkodników - skanowałem Avirą, Hitman 3.5, Malwarebytes i żaden nic nie znalazł - wpisy w HiJack This też wydają się być w porządku na obu komputerach..
Usługę posłańca mam wyłączoną..
Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co..

Hej.
Co do Aviry nie miałbym pewności na 100% odnośnie nie macia infekcji. Co do tego pobierz sobie GData lub inny (na 30 dni program), w tym czasie możesz zobaczyć czy coś jest nie tak. Z reguły porty te są używane jak Ty już wiesz i jak kolega wspomniał w sieci. Czy czasami nie uczestniczysz w sieci lokalnej odnośnie udostępniania plików itp?.
Pzdr

(03.04.2011 21:09)krisbe napisał(a):  Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..

Przecież jest napisane do czego służą! ale jak mało to przeczytaj poniżej to co napisałem, zrozum i odpowiedz sobie sam na pytanie skąd bierze się ruch na tych portach. Odpowiedź jest bardzo logiczna:

* port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
* port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
* port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)


Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie:
* Pobór przez atakującego informacji o układzie sieci
* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce, najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:
* Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a lokalnymi.
* Spam usługi Messenger / Posłaniec.

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez nazwy i bez żadnego hasła). Zagrożenie:
* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.
* Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w pop-upach.
* Jedna z dróg transportu robaków sieciowych

(03.04.2011 21:09)krisbe napisał(a):  Na moim komputerze (jak i drugim w sieci domowej) ....
Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co..

Zablokuj te porty to cie nie będzie denerwować Ale nie zdziw się jak siec ci nie będzie działać

Mnie po prostu zdziwiło, że co jakiś czas coś po tych portach dociera - a prędzej tak nie było..
Wiedzieć co i jak po tych portach chodzi wiedziałem, ale zaniepokoiło mnie nagłe wzmożenie tamtejszego ruchu..

Tak czy inaczej dzięki za odp