identyfikacja IP - nie wiem czy dobrze odczytałem

[skarabeusz]

Witam jestem nowy dlatego z góry zakładam, że pewnie nie będę milo odebrany.. bo taka jest tendencja tego typu for. Ale może się mylę

Moje pytanie jest proste.
Pod czas siedzenia sobie i dłubania w zębach, mój firewall zgłosił kilkakrotnie skanowanie portu z pod IP 213.234.193.250 – niestety każdy głupi żółtodziób wie, że to jest ruski serwer Proxy i nic nie mogę robić – niestety
Ale gdy wziąłem te IP na tracerta wywaliło kupe hostów, z tym jeden który mnie zaintrygował – mianowicie jeden z hostów należy do mojej sieci sieci.

Czy mogę wnioskować, że to ip które pierwsze wydrukowało w tracert jest intruza?
Inne ip są z innych sieci i dlatego mam mieszane uczucia

Drugie pytanie też odnoście czy output firewall Pro może źle zinterpretować atak skanowania portów – bo ktoś próbuje się wywinąć ze skanowania portów i powiedział mi że musiał mój F-Wall źle zinterpretować zagrożenie

[Nikow]

Jeśli jesteś w sieci, to normalne że pierwszą pozycją w traceroute będzie twoja brama, więc adres z sieci.

Skanowanie portów też jest niezgodne z polskim prawem. To zależy jaki atak, być może program sprawdzał parę portów, ponieważ jest wyposażony w narzędzia do wykorzystywania wielu luk, tę parę błędnych prób może zostać potraktowanych jako skan. OutputFirewallPro jest raczej dobrą zaporą ogniową, więc jeśli coś odbiera jako ATAK to pewnie tak jest. Skany akurat dobrze interpretuje z tego co pamiętam.

[skarabeusz]

Jeśli jesteś w sieci, to normalne że pierwszą pozycją w traceroute będzie twoja brama, więc adres z sieci.

i tu jest właśnie pies pogrzebany, bo znam swoje współrzędne
IP, brame i dns'y - te które zostały wyświetlone sa inne niż ja mam
również IP swojego usługodawcy też znam i też nie pokrywają się

ale po przeczytaniu hosta z tracerta jest jakaś dziwna nazwa dajmy na to (przykład – xxx.x.NAZWA SIECI (gdzie xxx jest dziwną nazwą) a obok jest również IP i nie jest to IP dostawcy, tylko należącego do niego (czyli jakiegoś delikwenta, który płaci abonament za neta) czy dobrze wnioskuje?

PS// dziękuję za odp. NR dwa

[naichniach]

Jeśli jest coś między tobą a bramką
i ty nic o tym nie wiesz to bardzo prawdopodobne
że ktoś cię snifuje

[TQM]

Jak rozumiem tracert jest dziwny dlatego ze najpierw jest Twoj komp, pozniej lokalna brama, kompy w sieci Twojego ISP, jakies inne kompy i znowu Twoj ISP i dopiero dlaje net.. net.. net... maszyna docelowa.

Jesli tak, to jest mozliwe ze ktos uzywa source-routingu. Wydawaloby sie ze to juz nie powinno dzialac, ale... pozatym informacje ktore podales sa za malo szczegolowe aby cokolwiek tresciwego odpowiedziec.

P.S.
Na nazwy hostow to nie patrz - nie ma to sensu - mozna ustawic jak sie chce, i nazwa->IP i IP->nazwa

[skarabeusz]

Pokażę screeny logów, co mnie zastanawia to od chwili włączenia komputera mam ten sam problem :/ te samo proxy mnie skanuje

wiem ze mało informacji, ale nie mam więcej i nie wiem jak je wydobyć, co byście zrobili na moim miejscu?

[TQM]

Akurat to ze na tym koncu listy pojawia sie Twoj ISP to notmalne... gorzej by bylo jakby sie pojawil gdzies dalej bo to by oznaczalo ze BGP sie gdzies sypie :P Routingu bym sie nie czepial - po prostu bym pilnowal tego proxy...

[gogulas]

Ja tam nie mam problemu z alertami firwalla, bo po prostu go nie uzywam :-)
Przy publicznym ip takie alerty pojawiaja sie bardzo czesto, robotow szukajacych podatnosci jest masa, sam zostalem w kilka godzin po nadaniu publicznego ip zwyczajnie zjedzony przez takie wlasnie robactwo, szybki ghost, pozamykanie wszystkich portow i jest OK.

[skarabeusz]

Zgadza się, że jest pełno nie przejmuje się takimi alertami w ogóle, gdy jest raz czy dwa.

Ale gdy jest to samo IP co 5 min, od dwóch dni, już mnie niepokoić to zaczyna, a już nie mówię, że się zaczynam wk***zać :/

Chciał bym wydobyć konkretne IP i zgłosić adminowi – oni na takie rzeczy reagują szybko odcinając dostęp do Internetu – tylko cuż jak to Proxy

Dam jeszcze screena z bardziej szczegółowymi danymi – może ktoś coś zobaczy i pomoże mi w namierzeniu bydlaka

[Nikow]

Witam!

Gdy mnie męczył 1 adres IP to poprostu wszystkie pakiety z tego adresu blokowałem. Pomogło

Pozdrawiam!