Форум Kerio-rus

Форум Kerio-rus (http://kerio-rus.ru/forum/index.php)
-   Курилка (http://kerio-rus.ru/forum/forumdisplay.php?f=312)
-   -   AntiSpoofing (http://kerio-rus.ru/forum/showthread.php?t=3920)

HarmonySash 07.04.2009 12:53

AntiSpoofing
 
Здравствуйте все!

С недавнего времени стал получать такого вида логи на вкладке Security:
Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.4:137 -> 192.168.0.127:137, udplen:50

Понятно, что речь идет о попытке подмены IP на другой и посылке пакета через интерфейс Internet от имени подмененного IP. 192.168.0.4 -- IP-адрес источника, а 192.168.0.127 -- IP-адрес назначения.
Но во внутренней подсети нет ни того, ни другого хоста!

Как выявить, из-за чего засоряется лог такими сообщениями?

Спасибо заранее.

kuvl-vrn 07.04.2009 13:15

Цитата:

Сообщение от HarmonySash (Сообщение 53356)
Здравствуйте все!

С недавнего времени стал получать такого вида логи на вкладке Security:
Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.4:137 -> 192.168.0.127:137, udplen:50

Понятно, что речь идет о попытке подмены IP на другой и посылке пакета через интерфейс Internet от имени подмененного IP. 192.168.0.4 -- IP-адрес источника, а 192.168.0.127 -- IP-адрес назначения.
Но во внутренней подсети нет ни того, ни другого хоста!

Как выявить, из-за чего засоряется лог такими сообщениями?

Спасибо заранее.

Отключи его вообще)):)

Donkey 07.04.2009 18:42

kuvl-vrn, да да, у человека проблеммы а ты ему "отключи совсем". Вообще Керио отключить чтобы не мешался

Babah22 07.04.2009 18:55

Donkey, не наезжай на нашего уважаемого особо вумного сиса, пожалуйста.

Donkey 07.04.2009 19:39

Babah22, дрын дын дын дын... крх, крх крых (чертова коробка передач) "Атайдите пазяляста, мая масына едет назадь" бррррр "Атайдите пазяляста, мая масына едет назадь"
брррр

Все съехал ;)
Кувл ты тама живой?

kuvl-vrn 07.04.2009 19:46

Цитата:

Сообщение от Donkey (Сообщение 53485)
Babah22, дрын дын дын дын... крх, крх крых (чертова коробка передач) "Атайдите пазяляста, мая масына едет назадь" бррррр "Атайдите пазяляста, мая масына едет назадь"
брррр

Все съехал ;)
Кувл ты тама живой?

:)Угу

Leshiy 08.04.2009 09:16

А чото мне кажецца, что у HarmonySash есть премиленькое правило
Source - Internet
Destination - Any
Service - Any
Action - Permit

Признавайся, есть же?

Ant 08.04.2009 09:37

Кроме этого, бывает очень весело когда провайдер запихивает всех клиентов в один влан.
Ещё веселее когда у кучи клиентов в этом вилане модемы бриджем, а для инета используется пппое поднимаемое на компе, и на сетевухе куда этот момед воткнут стоит галка на протоколе тсп\ип и висит какой-нить ипшнег.

Такчто в логах там можно такие весёлые сцуковещщи углядеть - аш жуть.

HarmonySash 09.04.2009 09:54

Leshiy, такого правила у меня нет --- крыша у меня не поехала, чтобы доступ из инета всем давать на любой интерфейс.
kuvl-vrn, отключить Antispoofing --- интересно, а вы все свои задачи решаете таким способом - если что-то не работает, а ну его нафиг, отключить и не мучаться? Фишка в том, чтобы разобраться в проблеме, а не уходить то нее, поскольку не решив ее, она не исчезнет. А так опыта добавится ;)

Leshiy 09.04.2009 10:36

Если такого правила нет, то я не понимаю, как винроут может дропать не адресованые ему пакеты? Такое наблюдается только в случае, если есть ани правила, тогда он выхватывает из потока все пакеты и анализирует их, иначе не обращает на них никакого внимания.

Скриншот траффик полиси можно увидеть?

kuvl-vrn 09.04.2009 11:34

Цитата:

Сообщение от HarmonySash (Сообщение 53693)
Leshiy, такого правила у меня нет --- крыша у меня не поехала, чтобы доступ из инета всем давать на любой интерфейс.
kuvl-vrn, отключить Antispoofing --- интересно, а вы все свои задачи решаете таким способом - если что-то не работает, а ну его нафиг, отключить и не мучаться? Фишка в том, чтобы разобраться в проблеме, а не уходить то нее, поскольку не решив ее, она не исчезнет. А так опыта добавится ;)

Есть ситуации когда Antispoofing просто банально необходимо отключать));)

HarmonySash 09.04.2009 13:03

Вложений: 1
Leshiy, вот правила. Ничего особенного в них нет.
kuvl-vrn, что это за ситуации?

kuvl-vrn 09.04.2009 15:14

Цитата:

Сообщение от HarmonySash (Сообщение 53722)
Leshiy, вот правила. Ничего особенного в них нет.
kuvl-vrn, что это за ситуации?

Ну наличие прог в локалке, банк клиента,проги передающюю налоговую отчетность.. к примеру,или кто нить контру поставит и начинаться сыпаться антиспуфинг))
:)

Leshiy 10.04.2009 01:52

Цитата:

Сообщение от kuvl-vrn (Сообщение 53754)
Ну наличие прог в локалке, банк клиента,проги передающюю налоговую отчетность.. к примеру,или кто нить контру поставит и начинаться сыпаться антиспуфинг))
:)

Вот такой? И из интернету?
192.168.0.4:137 -> 192.168.0.127:137

kuvl-vrn 10.04.2009 09:41

Цитата:

Сообщение от Leshiy (Сообщение 53864)
Вот такой? И из интернету?
192.168.0.4:137 -> 192.168.0.127:137

Наприамер тот самый известный msblast использовал 135 или 137 порт. Но чаще всего эти порты используются для DoS-атак. Веселые такие программы))
137 это специфический порт Windows NETBIOS Name Service, (137)
:)

Leshiy 10.04.2009 11:06

kuvl-vrn
IP адреса видим? Каким боком они относятся к внешнему интерфейсу винроута? Почему он реагирует на пакеты, адресованные не ему?

BlackSnake 10.04.2009 18:22

По всей видимости, у вашего прова стоит неуправляемый свич или хаб который вам и пересылает эти пакеты от соседей клиентов, у которых на внешнем интерфейсе не отключен "Клиент для сетей Microsoft"...

HarmonySash 12.04.2009 14:19

Цитата:

Сообщение от BlackSnake (Сообщение 53940)
По всей видимости, у вашего прова стоит неуправляемый свич или хаб который вам и пересылает эти пакеты от соседей клиентов, у которых на внешнем интерфейсе не отключен "Клиент для сетей Microsoft"...

Спасибо! Буду узнавать у провайдера, имеет ли место быть такая ситуация, хотя раньше (к данному провайдеру подключен уже давно) подобных вещей в логах не было.

cRYSMAS 17.02.2010 10:36

:)[Для просмотра данной ссылки нужно зарегистрироваться]

Добавлено через 4 минуты
у мну тоже такая трабла я начинающий помогите плиз разобраться

kuvl-vrn 17.02.2010 11:59

Цитата:

Сообщение от cRYSMAS (Сообщение 78122)
:)[Для просмотра данной ссылки нужно зарегистрироваться]

Добавлено через 4 минуты
у мну тоже такая трабла я начинающий помогите плиз разобраться

Проанализируй откуда и куда идут запросы и отпишись)


Текущее время: 21:10. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot