Хм... заметил вот такую интересную штуку> поставил Outpost Firewall(был открыт в етот момнт) захожу на ROM.BY и вижу такие надписи в файре : Blocking Hackers Attak с www.Rom.by!!! интересно что ето могло означать :twisted:
Хм... заметил вот такую интересную штуку> поставил Outpost Firewall(был открыт в етот момнт) захожу на ROM.BY и вижу такие надписи в файре : Blocking Hackers Attak с www.Rom.by!!! интересно что ето могло означать :twisted:
Бывает такое временами с Agnitum Outpost (Pro). Если Agnitum стоит на основной машине(которая управляет потоком трафика) для сетки и не аккуратно настроен доступ к ресурсам внутри сети и правила для DNS (если Ты таковые пишешь) то временами выскаивает rst-attack.
Если интересует суть детально как и что происходит скажи мне настройки или выложи свой cfg куда нибудь. Режим какой ставишь обучения или .... сам знаешь что. Если есть сомнения пробуй забустить ethereal(сниффер ) если у Тебя трафик проходит через ethernet карту или commview(www.tamosoft.com в нём есть поддержка ras драйвера для сниффинга если у Тебя модемное соединение(Если стоит w2K server то там это уже имеется и имеются собственные средства для сниффинга трафика)) либо SnifMon (www.ufasoft.com весьма маленькая и симпатишная штучка )
Точнее бы сказал какой вид атаки - может бы я и помог разобраться.
С уважением Виктор.
P.S. Если будешь сниффить не ставь файрволл в режим обучения. В ранних версиях Agnitum исходящий трафик имел свойство не захватываться из-за структуры драйверов в файрволле.
Файрволл конечно хороший - думаю даже один из лчуших если не лучший под Windows, но от утечки изнутри если Ты уже что-то запустил защищает не всегда как в принципе и множество других файрволлов под Windows diwaxx.ru/hak/outpost-firewall.php
Хм... заметил вот такую интересную штуку> поставил Outpost Firewall(был открыт в етот момнт) захожу на ROM.BY и вижу такие надписи в файре : Blocking Hackers Attak с www.Rom.by!!! интересно что ето могло означать :twisted:
Бывает такое временами с Agnitum Outpost (Pro). Если Agnitum стоит на основной машине(которая управляет потоком трафика) для сетки и не аккуратно настроен доступ к ресурсам внутри сети и правила для DNS (если Ты таковые пишешь) то временами выскаивает rst-attack.
Если интересует суть детально как и что происходит скажи мне настройки или выложи свой cfg куда нибудь. Режим какой ставишь обучения или .... сам знаешь что. Если есть сомнения пробуй забустить ethereal(сниффер ) если у Тебя трафик проходит через ethernet карту или commview(www.tamosoft.com в нём есть поддержка ras драйвера для сниффинга если у Тебя модемное соединение(Если стоит w2K server то там это уже имеется и имеются собственные средства для сниффинга трафика)) либо SnifMon (www.ufasoft.com весьма маленькая и симпатишная штучка )
Точнее бы сказал какой вид атаки - может бы я и помог разобраться.
С уважением Виктор.
P.S. Если будешь сниффить не ставь файрволл в режим обучения. В ранних версиях Agnitum исходящий трафик имел свойство не захватываться из-за структуры драйверов в файрволле.
Файрволл конечно хороший - думаю даже один из лчуших если не лучший под Windows, но от утечки изнутри если Ты уже что-то запустил защищает не всегда как в принципе и множество других файрволлов под Windows diwaxx.ru/hak/outpost-firewall.php
Боброго времени суток!
Вообще настройки шибко не настраивал, просто всю зашиту поставил на максимум! сижу на диал апе! версия была старенькая поэтому глючила особенно если еще стоял Каспер 5.0!
Временно им не пользуюсь, т.к скоро перехожу на ADSL!
Но объясни вот что> иногда (т.е. работает какое - то время нормально), а потом перекрывает доступ в инет вообще! даже переустановка не помогает! я думаю это просто был баг или чтото другое!?
А файрволл наверное лучший! а защиту из нутри хорошо обеспечивает встроенный в XP файер
Ответ может колебаться в самых различных вариациях Ты же мне почти ничего с чем можно было бы работать а я информацию удалённо не снимаю пока
Agnitum не рекомендуется ставить с другими файрволами и с некоторыми он из-за специфики их и его структуры фильтрации пакетов не будет работать. Я не знаю что Ты там ещё наставил кроме Kaspersky 5.0 (который сильно использует ресурсы если настроен на real-time сканирование) и не знаю как Ты настроил Agnitum OutPost и какой он у Тебя версии тоже не знаю.
Но несколько предположений могу высказать: если какое-то время работает то это уже хорошо. В идеале а у Тебя наверняка не так - если Ты правильно настроил Agnitum(каждой проге необходимые порты и направление трафка плюс немаловажно реакцию (Reject или Deny) (по умолчанию не всегда хорошо выбраны необходимые порты) плюс режим проверки изменившихся системных библиотек также стоит внимательно посмотреть как реагировать на пакеты ICMP скана (сам найдёшь где) DNS запросы (ставишь в режим обучения и разбираешь что и как в зависимости от версии Твоей Windows Ты найдёшь какое приложение отвечает за DNS) плюс стоит отдельно посмотреть фкладку касательно IP пакетов там можно разрешить или запретить вид определённых пакетов) и указать только используемые. Не рекомендую пользоваться всяческими патчами найденными по ссылкам на astalavista.box.sk. 8) Ключ идеальное решение.
Для оптимизации можно ещё настроить DNS встроенный в файрволл (он сохраняет записи и не посылает повторно запрос если в его базе они уже есть) и естественно внимательно посмотреть на фильтрацию Active-Content'a (скрипты апплеты разрешённый редирект и прочее)
И пунктик там один есть касательно хэкерских атак. У меня только одно предположение что Ты видимо выставил на максимум - т е предупреждать при каждом подозрительном пакете и выставил галку блокировать соединение. Теперь думай если у Тебя PPP(модемное) соединение то весь трафик пойдёт через IP к которому Ты цепляешься и если оттуда хоть раз прийдёт какой-либо подозрительный либо потерявшийся (таймаут) пакет Ты сам обрубаешь сук на котором сидишь. Такая ситуация(ближний к Тебе IP к которому Ты цепляешься при PPP) мне встречалась крайне редко поэтому изучай что там происходит у Тебя в Windows(посмотри процессы и т д и т п) ищи что у Тебя глючит и читай доки хотя бы по Agnitum и форумы касательно оного тоже.
Ещё возможна более вероятная ситуация у Тебя не уходят в момент облома DNS пакеты. Плюс ещё ситуация если Ты сам случайно запретил выход своему броузеру к примеру. Либо - исходя из того что у Тебя что-то там падает(Windows в смысле) есть предположение что Ты зацепил уже что-то и это что-то перекрывает Тебе доступ (один из реальных примеров троян agobot (версию не помню) который скрывает себя от системы и соответственно от файрволла - позволяет входящий трафик который Ты вероятно не увидишь даже в сниффере обнаруживается сканированием портов извне)
Если хочешь понять сам что происходит запусти сниффер и изучай что там пришло - как только почуувствуешь что засох инет смотри в снифффер и проведи пару экспериментов ping traceroute попробуй netcat(удобен для экспериментов).
С уважением Виктор.
P.S. И читай хотябы доки если Ты не имеешь желания ковырнуться глубже в структуру файрволла поняв как это всё работает.
нету у меня такого... Хотя стоит Агнитум и W2k...
Аццкий ромбовод {:€
Я пока не волшебник - я только учусь! :-P
Root
Опишу подробности попозже т.к винда полетела!
С УВАЖЕНИЕМ
Опишу подробности попозже т.к винда полетела!
Rom.by увалил ее вместе с твоим фаерволом
Шумм
Нет не Ромба увалила, а синие тела на днюхе!
С УВАЖЕНИЕМ
Бывает такое временами с Agnitum Outpost (Pro). Если Agnitum стоит на основной машине(которая управляет потоком трафика) для сетки и не аккуратно настроен доступ к ресурсам внутри сети и правила для DNS (если Ты таковые пишешь) то временами выскаивает rst-attack.
Если интересует суть детально как и что происходит скажи мне настройки или выложи свой cfg куда нибудь. Режим какой ставишь обучения или .... сам знаешь что. Если есть сомнения пробуй забустить ethereal(сниффер ) если у Тебя трафик проходит через ethernet карту или commview(www.tamosoft.com в нём есть поддержка ras драйвера для сниффинга если у Тебя модемное соединение(Если стоит w2K server то там это уже имеется и имеются собственные средства для сниффинга трафика)) либо SnifMon (www.ufasoft.com весьма маленькая и симпатишная штучка )
Точнее бы сказал какой вид атаки - может бы я и помог разобраться.
С уважением Виктор.
P.S. Если будешь сниффить не ставь файрволл в режим обучения. В ранних версиях Agnitum исходящий трафик имел свойство не захватываться из-за структуры драйверов в файрволле.
Файрволл конечно хороший - думаю даже один из лчуших если не лучший под Windows, но от утечки изнутри если Ты уже что-то запустил защищает не всегда как в принципе и множество других файрволлов под Windows diwaxx.ru/hak/outpost-firewall.php
Бывает такое временами с Agnitum Outpost (Pro). Если Agnitum стоит на основной машине(которая управляет потоком трафика) для сетки и не аккуратно настроен доступ к ресурсам внутри сети и правила для DNS (если Ты таковые пишешь) то временами выскаивает rst-attack.
Если интересует суть детально как и что происходит скажи мне настройки или выложи свой cfg куда нибудь. Режим какой ставишь обучения или .... сам знаешь что. Если есть сомнения пробуй забустить ethereal(сниффер ) если у Тебя трафик проходит через ethernet карту или commview(www.tamosoft.com в нём есть поддержка ras драйвера для сниффинга если у Тебя модемное соединение(Если стоит w2K server то там это уже имеется и имеются собственные средства для сниффинга трафика)) либо SnifMon (www.ufasoft.com весьма маленькая и симпатишная штучка )
Точнее бы сказал какой вид атаки - может бы я и помог разобраться.
С уважением Виктор.
P.S. Если будешь сниффить не ставь файрволл в режим обучения. В ранних версиях Agnitum исходящий трафик имел свойство не захватываться из-за структуры драйверов в файрволле.
Файрволл конечно хороший - думаю даже один из лчуших если не лучший под Windows, но от утечки изнутри если Ты уже что-то запустил защищает не всегда как в принципе и множество других файрволлов под Windows diwaxx.ru/hak/outpost-firewall.php
Боброго времени суток!
Вообще настройки шибко не настраивал, просто всю зашиту поставил на максимум! сижу на диал апе! версия была старенькая поэтому глючила особенно если еще стоял Каспер 5.0!
Временно им не пользуюсь, т.к скоро перехожу на ADSL!
Но объясни вот что> иногда (т.е. работает какое - то время нормально), а потом перекрывает доступ в инет вообще! даже переустановка не помогает! я думаю это просто был баг или чтото другое!?
А файрволл наверное лучший! а защиту из нутри хорошо обеспечивает встроенный в XP файер
С УВАЖЕНИЕМ
to MOZAS
Ответ может колебаться в самых различных вариациях Ты же мне почти ничего с чем можно было бы работать а я информацию удалённо не снимаю пока
Agnitum не рекомендуется ставить с другими файрволами и с некоторыми он из-за специфики их и его структуры фильтрации пакетов не будет работать. Я не знаю что Ты там ещё наставил кроме Kaspersky 5.0 (который сильно использует ресурсы если настроен на real-time сканирование) и не знаю как Ты настроил Agnitum OutPost и какой он у Тебя версии тоже не знаю.
Но несколько предположений могу высказать: если какое-то время работает то это уже хорошо. В идеале а у Тебя наверняка не так - если Ты правильно настроил Agnitum(каждой проге необходимые порты и направление трафка плюс немаловажно реакцию (Reject или Deny) (по умолчанию не всегда хорошо выбраны необходимые порты) плюс режим проверки изменившихся системных библиотек также стоит внимательно посмотреть как реагировать на пакеты ICMP скана (сам найдёшь где) DNS запросы (ставишь в режим обучения и разбираешь что и как в зависимости от версии Твоей Windows Ты найдёшь какое приложение отвечает за DNS) плюс стоит отдельно посмотреть фкладку касательно IP пакетов там можно разрешить или запретить вид определённых пакетов) и указать только используемые. Не рекомендую пользоваться всяческими патчами найденными по ссылкам на astalavista.box.sk. 8) Ключ идеальное решение.
Для оптимизации можно ещё настроить DNS встроенный в файрволл (он сохраняет записи и не посылает повторно запрос если в его базе они уже есть) и естественно внимательно посмотреть на фильтрацию Active-Content'a (скрипты апплеты разрешённый редирект и прочее)
И пунктик там один есть касательно хэкерских атак. У меня только одно предположение что Ты видимо выставил на максимум - т е предупреждать при каждом подозрительном пакете и выставил галку блокировать соединение. Теперь думай если у Тебя PPP(модемное) соединение то весь трафик пойдёт через IP к которому Ты цепляешься и если оттуда хоть раз прийдёт какой-либо подозрительный либо потерявшийся (таймаут) пакет Ты сам обрубаешь сук на котором сидишь. Такая ситуация(ближний к Тебе IP к которому Ты цепляешься при PPP) мне встречалась крайне редко поэтому изучай что там происходит у Тебя в Windows(посмотри процессы и т д и т п) ищи что у Тебя глючит и читай доки хотя бы по Agnitum и форумы касательно оного тоже.
Ещё возможна более вероятная ситуация у Тебя не уходят в момент облома DNS пакеты. Плюс ещё ситуация если Ты сам случайно запретил выход своему броузеру к примеру. Либо - исходя из того что у Тебя что-то там падает(Windows в смысле) есть предположение что Ты зацепил уже что-то и это что-то перекрывает Тебе доступ (один из реальных примеров троян agobot (версию не помню) который скрывает себя от системы и соответственно от файрволла - позволяет входящий трафик который Ты вероятно не увидишь даже в сниффере обнаруживается сканированием портов извне)
Если хочешь понять сам что происходит запусти сниффер и изучай что там пришло - как только почуувствуешь что засох инет смотри в снифффер и проведи пару экспериментов ping traceroute попробуй netcat(удобен для экспериментов).
С уважением Виктор.
P.S. И читай хотябы доки если Ты не имеешь желания ковырнуться глубже в структуру файрволла поняв как это всё работает.
Спасибо большое будем оаботать над собой!
а инфы по outpostу прочитал не мало!
С УВАЖЕНИЕМ
Отправить комментарий