![]() |
Ciągłe skanowanie portów 137,138.. - Wersja do druku +- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl) +-- Dział: Pomoc i wsparcie, Windows 7 (/pomoc-i-wsparcie-windows-7-26-f) +--- Dział: Bezpieczeństwo Windows 7 (/bezpieczenstwo-windows-7-15-f) +--- Wątek: Ciągłe skanowanie portów 137,138.. (/ciagle-skanowanie-portow-137-138-15164-t) |
Ciągłe skanowanie portów 137,138.. - krisbe - 03.04.2011 12:38 Witam, korzystam z FW Comodo i ostatni czasy zauważyłem, że Ciągle próbuje ktoś (coś) nawiązać połączenie po owych portach (137,138) czasem są to też inne. w jaki sposób mogę to zabezpieczyć ? w Comodo wyskakuje mi że Usługa jaka za to odpowiada to "system" (logiczne z resztą..) Nie będę ukrywał, że to męczące.. Z góry dzięki za odp RE: Ciągłe skanowanie portów 137,138.. - dhapollo - 03.04.2011 17:06 W/w porty są używane przez systemy Windows do komunikacji wewnątrz sieci - udostępniania plików itd. Portów tych używa np. usługa Posłaniec służąca do komunikacji pomiędzy komputerami w sieci (net send). Niestety na tych portach (zarówno wprzez protokół tcp i udp) rozprzestrzeniają się również wewnątrz sieci różnego rodzaju wirusy, backdory i inne cuda z zaśmieconych komputerów. Istnieje także możliwość dokonania ataku np. poprzez zfałszowanie nagłówka pakietu i podszycie się pod jeden z komputerów w danym otoczeniu sieciowym. Większość administratorów sieci blokuje te porty w celu ograniczenia ataków, podobnie czynią firewalle. Sytuacja ta dotyczy także portu 445 (SMB). U ciebie firewall wykrywa podejrzany ruch na tych portach. Mogą to być próby ataków ale raczej nie ze strony użytkowników tylko wirusów znajdujących się na ich komputerach i próbujących dostać się na twoją maszynę. Bardzo często jest to również próba skanowania twoich portów z innego komputera, w celu stwierdzenia które z nich są otwarte i następnie wykorzystania ich do ataku. To zazwyczaj także robią wirusy, jednakże domorosłego "hakera" wykluczyć nie można. RE: Ciągłe skanowanie portów 137,138.. - krisbe - 03.04.2011 21:09 Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich.. Na moim komputerze (jak i drugim w sieci domowej) na pewno nie ma żadnych szkodników - skanowałem Avirą, Hitman 3.5, Malwarebytes i żaden nic nie znalazł - wpisy w HiJack This też wydają się być w porządku na obu komputerach.. Usługę posłańca mam wyłączoną.. Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co.. RE: Ciągłe skanowanie portów 137,138.. - bodziulla - 03.04.2011 23:03 Hej. Co do Aviry nie miałbym pewności na 100% odnośnie nie macia infekcji. Co do tego pobierz sobie GData lub inny (na 30 dni program), w tym czasie możesz zobaczyć czy coś jest nie tak. Z reguły porty te są używane jak Ty już wiesz i jak kolega wspomniał w sieci. Czy czasami nie uczestniczysz w sieci lokalnej odnośnie udostępniania plików itp?. Pzdr RE: Ciągłe skanowanie portów 137,138.. - dhapollo - 04.04.2011 13:44 (03.04.2011 21:09)krisbe napisał(a): Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..Przecież jest napisane do czego służą! ale jak mało to przeczytaj poniżej to co napisałem, zrozum i odpowiedz sobie sam na pytanie skąd bierze się ruch na tych portach. Odpowiedź jest bardzo logiczna: * port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP) * port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP) * port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP) Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie: * Pobór przez atakującego informacji o układzie sieci * Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP) Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce, najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie: * Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a lokalnymi. * Spam usługi Messenger / Posłaniec. Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez nazwy i bez żadnego hasła). Zagrożenie: * Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji. * Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w pop-upach. * Jedna z dróg transportu robaków sieciowych (03.04.2011 21:09)krisbe napisał(a): Na moim komputerze (jak i drugim w sieci domowej) ....Zablokuj te porty to cie nie będzie denerwować ![]() RE: Ciągłe skanowanie portów 137,138.. - krisbe - 05.04.2011 10:49 Mnie po prostu zdziwiło, że co jakiś czas coś po tych portach dociera - a prędzej tak nie było.. Wiedzieć co i jak po tych portach chodzi wiedziałem, ale zaniepokoiło mnie nagłe wzmożenie tamtejszego ruchu.. Tak czy inaczej dzięki za odp |