Ciągłe skanowanie portów 137,138..

(03.04.2011 21:09)krisbe napisał(a):  Do czego służą te porty to wiem.. ale właśnie martwi mnie ten ruch na nich..

Przecież jest napisane do czego służą! ale jak mało to przeczytaj poniżej to co napisałem, zrozum i odpowiedz sobie sam na pytanie skąd bierze się ruch na tych portach. Odpowiedź jest bardzo logiczna:

* port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
* port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
* port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)


Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie:
* Pobór przez atakującego informacji o układzie sieci
* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce, najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:
* Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a lokalnymi.
* Spam usługi Messenger / Posłaniec.

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez nazwy i bez żadnego hasła). Zagrożenie:
* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.
* Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w pop-upach.
* Jedna z dróg transportu robaków sieciowych

(03.04.2011 21:09)krisbe napisał(a):  Na moim komputerze (jak i drugim w sieci domowej) ....
Denerwuje mnie jednak że coś na tych portach chce działać i nie umie zdiagnozować co..

Zablokuj te porty to cie nie będzie denerwować Ale nie zdziw się jak siec ci nie będzie działać