Odpowiedz

Ciągłe skanowanie portów 137,138..

 
krisbe
Nowy
Liczba postów: 3
Post: #1

Ciągłe skanowanie portów 137,138..


Witam, korzystam z FW Comodo i ostatni czasy zauważyłem, że Ciągle próbuje ktoś (coś) nawiązać połączenie po owych portach (137,138) czasem są to też inne.
w jaki sposób mogę to zabezpieczyć ?
w Comodo wyskakuje mi że Usługa jaka za to odpowiada to "system" (logiczne z resztą..)
Nie będę ukrywał, że to męczące..

Z góry dzięki za odp

03.04.2011 12:38

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
dhapollo
VIP

Liczba postów: 755
Post: #2

RE: Ciągłe skanowanie portów 137,138..


W/w porty są używane przez systemy Windows do komunikacji wewnątrz sieci - udostępniania plików itd. Portów tych używa np. usługa Posłaniec służąca do komunikacji pomiędzy komputerami w sieci (net send). Niestety na tych portach (zarówno wprzez protokół tcp i udp) rozprzestrzeniają się również wewnątrz sieci różnego rodzaju wirusy, backdory i inne cuda z zaśmieconych komputerów. Istnieje także możliwość dokonania ataku np. poprzez zfałszowanie nagłówka pakietu i podszycie się pod jeden z komputerów w danym otoczeniu sieciowym. Większość administratorów sieci blokuje te porty w celu ograniczenia ataków, podobnie czynią firewalle.
Sytuacja ta dotyczy także portu 445 (SMB).

U ciebie firewall wykrywa podejrzany ruch na tych portach. Mogą to być próby ataków ale raczej nie ze strony użytkowników tylko wirusów znajdujących się na ich komputerach i próbujących dostać się na twoją maszynę. Bardzo często jest to również próba skanowania twoich portów z innego komputera, w celu stwierdzenia które z nich są otwarte i następnie wykorzystania ich do ataku. To zazwyczaj także robią wirusy, jednakże domorosłego "hakera" wykluczyć nie można.

[Obrazek: sygnatura.jpg]

03.04.2011 17:06

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
krisbe
Nowy
Liczba postów: 3
Post: #3

RE: Ciągłe skanowanie portów 137,138..


Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..
Na moim komputerze (jak i drugim w sieci domowej) na pewno nie ma żadnych szkodników - skanowałem Avirą, Hitman 3.5, Malwarebytes i żaden nic nie znalazł - wpisy w HiJack This też wydają się być w porządku na obu komputerach..
Usługę posłańca mam wyłączoną..
Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co..

03.04.2011 21:09

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
bodziulla
VIP

Liczba postów: 2.364
Post: #4

RE: Ciągłe skanowanie portów 137,138..


Hej.
Co do Aviry nie miałbym pewności na 100% odnośnie nie macia infekcji. Co do tego pobierz sobie GData lub inny (na 30 dni program), w tym czasie możesz zobaczyć czy coś jest nie tak. Z reguły porty te są używane jak Ty już wiesz i jak kolega wspomniał w sieci. Czy czasami nie uczestniczysz w sieci lokalnej odnośnie udostępniania plików itp?.
Pzdr

Jeżeli uważasz, że pomogłem kliknij POMÓGŁ. Pzdr :)

03.04.2011 23:03

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
dhapollo
VIP

Liczba postów: 755
Post: #5

RE: Ciągłe skanowanie portów 137,138..


(03.04.2011 21:09)krisbe napisał(a):  Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..
Przecież jest napisane do czego służą! ale jak mało to przeczytaj poniżej to co napisałem, zrozum i odpowiedz sobie sam na pytanie skąd bierze się ruch na tych portach. Odpowiedź jest bardzo logiczna:

* port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
* port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
* port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)


Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie:
* Pobór przez atakującego informacji o układzie sieci
* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce, najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:
* Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a lokalnymi.
* Spam usługi Messenger / Posłaniec.

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez nazwy i bez żadnego hasła). Zagrożenie:
* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.
* Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w pop-upach.
* Jedna z dróg transportu robaków sieciowych
(03.04.2011 21:09)krisbe napisał(a):  Na moim komputerze (jak i drugim w sieci domowej) ....
Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co..
Zablokuj te porty to cie nie będzie denerwowaćUśmiechnięty Ale nie zdziw się jak siec ci nie będzie działać

[Obrazek: sygnatura.jpg]
(Ten post był ostatnio modyfikowany: 04.04.2011 13:48 przez dhapollo.)

04.04.2011 13:44

Róża Podziękowania od: krisbe
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
krisbe
Nowy
Liczba postów: 3
Post: #6

RE: Ciągłe skanowanie portów 137,138..


Mnie po prostu zdziwiło, że co jakiś czas coś po tych portach dociera - a prędzej tak nie było..
Wiedzieć co i jak po tych portach chodzi wiedziałem, ale zaniepokoiło mnie nagłe wzmożenie tamtejszego ruchu..

Tak czy inaczej dzięki za odp

05.04.2011 10:49

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz

Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
Ciągłe bluescreeny Ramirez 10 4.449 18.12.2010 18:01
Ostatni post: andrew-jar
Nie mogę otworzyć portów na zaporze sikorka_36 0 2.781 15.09.2010 18:28
Ostatni post: sikorka_36
« Starszy wątek | Nowszy wątek »

Temat został oceniony na 0 w skali 1-5 gwiazdek.
Zebrano 0 głosów.