Ciągłe skanowanie portów 137,138.. |
|
krisbe Nowy
Liczba postów: 3
|
Post: #1
Ciągłe skanowanie portów 137,138..
Witam, korzystam z FW Comodo i ostatni czasy zauważyłem, że Ciągle próbuje ktoś (coś) nawiązać połączenie po owych portach (137,138) czasem są to też inne.
w jaki sposób mogę to zabezpieczyć ? w Comodo wyskakuje mi że Usługa jaka za to odpowiada to "system" (logiczne z resztą..) Nie będę ukrywał, że to męczące.. Z góry dzięki za odp 03.04.2011 12:38 |
dhapollo VIP
Liczba postów: 755
|
Post: #2
RE: Ciągłe skanowanie portów 137,138..
W/w porty są używane przez systemy Windows do komunikacji wewnątrz sieci - udostępniania plików itd. Portów tych używa np. usługa Posłaniec służąca do komunikacji pomiędzy komputerami w sieci (net send). Niestety na tych portach (zarówno wprzez protokół tcp i udp) rozprzestrzeniają się również wewnątrz sieci różnego rodzaju wirusy, backdory i inne cuda z zaśmieconych komputerów. Istnieje także możliwość dokonania ataku np. poprzez zfałszowanie nagłówka pakietu i podszycie się pod jeden z komputerów w danym otoczeniu sieciowym. Większość administratorów sieci blokuje te porty w celu ograniczenia ataków, podobnie czynią firewalle.
Sytuacja ta dotyczy także portu 445 (SMB). U ciebie firewall wykrywa podejrzany ruch na tych portach. Mogą to być próby ataków ale raczej nie ze strony użytkowników tylko wirusów znajdujących się na ich komputerach i próbujących dostać się na twoją maszynę. Bardzo często jest to również próba skanowania twoich portów z innego komputera, w celu stwierdzenia które z nich są otwarte i następnie wykorzystania ich do ataku. To zazwyczaj także robią wirusy, jednakże domorosłego "hakera" wykluczyć nie można. 03.04.2011 17:06 |
krisbe Nowy
Liczba postów: 3
|
Post: #3
RE: Ciągłe skanowanie portów 137,138..
Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..
Na moim komputerze (jak i drugim w sieci domowej) na pewno nie ma żadnych szkodników - skanowałem Avirą, Hitman 3.5, Malwarebytes i żaden nic nie znalazł - wpisy w HiJack This też wydają się być w porządku na obu komputerach.. Usługę posłańca mam wyłączoną.. Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co.. 03.04.2011 21:09 |
bodziulla VIP
Liczba postów: 2.364
|
Post: #4
RE: Ciągłe skanowanie portów 137,138..
Hej.
Co do Aviry nie miałbym pewności na 100% odnośnie nie macia infekcji. Co do tego pobierz sobie GData lub inny (na 30 dni program), w tym czasie możesz zobaczyć czy coś jest nie tak. Z reguły porty te są używane jak Ty już wiesz i jak kolega wspomniał w sieci. Czy czasami nie uczestniczysz w sieci lokalnej odnośnie udostępniania plików itp?. Pzdr Jeżeli uważasz, że pomogłem kliknij POMÓGŁ. Pzdr :) 03.04.2011 23:03 |
dhapollo VIP
Liczba postów: 755
|
Post: #5
RE: Ciągłe skanowanie portów 137,138..(03.04.2011 21:09)krisbe napisał(a): Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..Przecież jest napisane do czego służą! ale jak mało to przeczytaj poniżej to co napisałem, zrozum i odpowiedz sobie sam na pytanie skąd bierze się ruch na tych portach. Odpowiedź jest bardzo logiczna: * port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP) * port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP) * port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP) Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie: * Pobór przez atakującego informacji o układzie sieci * Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP) Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce, najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie: * Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a lokalnymi. * Spam usługi Messenger / Posłaniec. Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez nazwy i bez żadnego hasła). Zagrożenie: * Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji. * Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w pop-upach. * Jedna z dróg transportu robaków sieciowych (03.04.2011 21:09)krisbe napisał(a): Na moim komputerze (jak i drugim w sieci domowej) ....Zablokuj te porty to cie nie będzie denerwować Ale nie zdziw się jak siec ci nie będzie działać
(Ten post był ostatnio modyfikowany: 04.04.2011 13:48 przez dhapollo.)
04.04.2011 13:44 |
Podziękowania od: | krisbe |
krisbe Nowy
Liczba postów: 3
|
Post: #6
RE: Ciągłe skanowanie portów 137,138..
Mnie po prostu zdziwiło, że co jakiś czas coś po tych portach dociera - a prędzej tak nie było..
Wiedzieć co i jak po tych portach chodzi wiedziałem, ale zaniepokoiło mnie nagłe wzmożenie tamtejszego ruchu.. Tak czy inaczej dzięki za odp 05.04.2011 10:49 |
Podobne wątki | ||||
Wątek: | Autor | Odpowiedzi: | Wyświetleń: | Ostatni post |
Ciągłe bluescreeny | Ramirez | 10 | 4.449 |
18.12.2010 18:01 Ostatni post: andrew-jar |
Nie mogę otworzyć portów na zaporze | sikorka_36 | 0 | 2.781 |
15.09.2010 18:28 Ostatni post: sikorka_36 |
« Starszy wątek | Nowszy wątek »
Autor: krisbe Temat został oceniony na 0 w skali 1-5 gwiazdek. Zebrano 0 głosów. |