Форум Kerio-rus

Вернуться   Форум Kerio-rus > Общие вопросы > Курилка

Важная информация

Ответ
 
Опции темы
Старый 07.04.2009, 12:53   #1
HarmonySash
Навичёг
 
Аватар для HarmonySash
 
Регистрация: 28.12.2007
Сообщений: 45
По умолчанию AntiSpoofing

Здравствуйте все!

С недавнего времени стал получать такого вида логи на вкладке Security:
Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.4:137 -> 192.168.0.127:137, udplen:50

Понятно, что речь идет о попытке подмены IP на другой и посылке пакета через интерфейс Internet от имени подмененного IP. 192.168.0.4 -- IP-адрес источника, а 192.168.0.127 -- IP-адрес назначения.
Но во внутренней подсети нет ни того, ни другого хоста!

Как выявить, из-за чего засоряется лог такими сообщениями?

Спасибо заранее.
HarmonySash вне форума   Ответить с цитированием Вверх
Старый 07.04.2009, 13:15   #2
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от HarmonySash Посмотреть сообщение
Здравствуйте все!

С недавнего времени стал получать такого вида логи на вкладке Security:
Anti-spoofing: Packet from Internet, proto:UDP, len:78, ip/port:192.168.0.4:137 -> 192.168.0.127:137, udplen:50

Понятно, что речь идет о попытке подмены IP на другой и посылке пакета через интерфейс Internet от имени подмененного IP. 192.168.0.4 -- IP-адрес источника, а 192.168.0.127 -- IP-адрес назначения.
Но во внутренней подсети нет ни того, ни другого хоста!

Как выявить, из-за чего засоряется лог такими сообщениями?

Спасибо заранее.
Отключи его вообще))
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 07.04.2009, 18:42   #3
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,191
По умолчанию

kuvl-vrn, да да, у человека проблеммы а ты ему "отключи совсем". Вообще Керио отключить чтобы не мешался
Donkey вне форума   Ответить с цитированием Вверх
Старый 07.04.2009, 18:55   #4
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Donkey, не наезжай на нашего уважаемого особо вумного сиса, пожалуйста.
__________________
Решил бросить пить. Утром следующего дня осознал: недобросил…
Babah22 вне форума   Ответить с цитированием Вверх
Старый 07.04.2009, 19:39   #5
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,191
По умолчанию

Babah22, дрын дын дын дын... крх, крх крых (чертова коробка передач) "Атайдите пазяляста, мая масына едет назадь" бррррр "Атайдите пазяляста, мая масына едет назадь"
брррр

Все съехал
Кувл ты тама живой?
Donkey вне форума   Ответить с цитированием Вверх
Старый 07.04.2009, 19:46   #6
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата:
Сообщение от Donkey Посмотреть сообщение
Babah22, дрын дын дын дын... крх, крх крых (чертова коробка передач) "Атайдите пазяляста, мая масына едет назадь" бррррр "Атайдите пазяляста, мая масына едет назадь"
брррр

Все съехал
Кувл ты тама живой?
Угу
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 08.04.2009, 09:16   #7
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию

А чото мне кажецца, что у HarmonySash есть премиленькое правило
Source - Internet
Destination - Any
Service - Any
Action - Permit

Признавайся, есть же?
Leshiy вне форума   Ответить с цитированием Вверх
Старый 08.04.2009, 09:37   #8
Ant
Знатный писарь
 
Аватар для Ant
 
Регистрация: 28.04.2006
Адрес: Russia
Сообщений: 323
По умолчанию

Кроме этого, бывает очень весело когда провайдер запихивает всех клиентов в один влан.
Ещё веселее когда у кучи клиентов в этом вилане модемы бриджем, а для инета используется пппое поднимаемое на компе, и на сетевухе куда этот момед воткнут стоит галка на протоколе тсп\ип и висит какой-нить ипшнег.

Такчто в логах там можно такие весёлые сцуковещщи углядеть - аш жуть.
Ant вне форума   Ответить с цитированием Вверх
Старый 09.04.2009, 09:54   #9
HarmonySash
Навичёг
 
Аватар для HarmonySash
 
Регистрация: 28.12.2007
Сообщений: 45
По умолчанию

Leshiy, такого правила у меня нет --- крыша у меня не поехала, чтобы доступ из инета всем давать на любой интерфейс.
kuvl-vrn, отключить Antispoofing --- интересно, а вы все свои задачи решаете таким способом - если что-то не работает, а ну его нафиг, отключить и не мучаться? Фишка в том, чтобы разобраться в проблеме, а не уходить то нее, поскольку не решив ее, она не исчезнет. А так опыта добавится
HarmonySash вне форума   Ответить с цитированием Вверх
Старый 09.04.2009, 10:36   #10
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию

Если такого правила нет, то я не понимаю, как винроут может дропать не адресованые ему пакеты? Такое наблюдается только в случае, если есть ани правила, тогда он выхватывает из потока все пакеты и анализирует их, иначе не обращает на них никакого внимания.

Скриншот траффик полиси можно увидеть?
Leshiy вне форума   Ответить с цитированием Вверх
Старый 09.04.2009, 11:34   #11
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от HarmonySash Посмотреть сообщение
Leshiy, такого правила у меня нет --- крыша у меня не поехала, чтобы доступ из инета всем давать на любой интерфейс.
kuvl-vrn, отключить Antispoofing --- интересно, а вы все свои задачи решаете таким способом - если что-то не работает, а ну его нафиг, отключить и не мучаться? Фишка в том, чтобы разобраться в проблеме, а не уходить то нее, поскольку не решив ее, она не исчезнет. А так опыта добавится
Есть ситуации когда Antispoofing просто банально необходимо отключать))
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 09.04.2009, 13:03   #12
HarmonySash
Навичёг
 
Аватар для HarmonySash
 
Регистрация: 28.12.2007
Сообщений: 45
По умолчанию

Leshiy, вот правила. Ничего особенного в них нет.
kuvl-vrn, что это за ситуации?
Изображения
Тип файла: jpg rules.JPG (35.6 Кб, 212 просмотров)
HarmonySash вне форума   Ответить с цитированием Вверх
Старый 09.04.2009, 15:14   #13
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от HarmonySash Посмотреть сообщение
Leshiy, вот правила. Ничего особенного в них нет.
kuvl-vrn, что это за ситуации?
Ну наличие прог в локалке, банк клиента,проги передающюю налоговую отчетность.. к примеру,или кто нить контру поставит и начинаться сыпаться антиспуфинг))
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 10.04.2009, 01:52   #14
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
Ну наличие прог в локалке, банк клиента,проги передающюю налоговую отчетность.. к примеру,или кто нить контру поставит и начинаться сыпаться антиспуфинг))
Вот такой? И из интернету?
192.168.0.4:137 -> 192.168.0.127:137
Leshiy вне форума   Ответить с цитированием Вверх
Старый 10.04.2009, 09:41   #15
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от Leshiy Посмотреть сообщение
Вот такой? И из интернету?
192.168.0.4:137 -> 192.168.0.127:137
Наприамер тот самый известный msblast использовал 135 или 137 порт. Но чаще всего эти порты используются для DoS-атак. Веселые такие программы))
137 это специфический порт Windows NETBIOS Name Service, (137)
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 10.04.2009, 11:06   #16
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию

kuvl-vrn
IP адреса видим? Каким боком они относятся к внешнему интерфейсу винроута? Почему он реагирует на пакеты, адресованные не ему?
Leshiy вне форума   Ответить с цитированием Вверх
Старый 10.04.2009, 18:22   #17
BlackSnake
Песака
 
Аватар для BlackSnake
 
Регистрация: 07.04.2009
Адрес: Питер
Сообщений: 69
По умолчанию

По всей видимости, у вашего прова стоит неуправляемый свич или хаб который вам и пересылает эти пакеты от соседей клиентов, у которых на внешнем интерфейсе не отключен "Клиент для сетей Microsoft"...
BlackSnake вне форума   Ответить с цитированием Вверх
Старый 12.04.2009, 14:19   #18
HarmonySash
Навичёг
 
Аватар для HarmonySash
 
Регистрация: 28.12.2007
Сообщений: 45
По умолчанию

Цитата
Сообщение от BlackSnake Посмотреть сообщение
По всей видимости, у вашего прова стоит неуправляемый свич или хаб который вам и пересылает эти пакеты от соседей клиентов, у которых на внешнем интерфейсе не отключен "Клиент для сетей Microsoft"...
Спасибо! Буду узнавать у провайдера, имеет ли место быть такая ситуация, хотя раньше (к данному провайдеру подключен уже давно) подобных вещей в логах не было.
HarmonySash вне форума   Ответить с цитированием Вверх
Старый 17.02.2010, 10:36   #19
cRYSMAS
Песака
 
Аватар для cRYSMAS
 
Регистрация: 17.02.2010
Сообщений: 52
По умолчанию



Добавлено через 4 минуты
у мну тоже такая трабла я начинающий помогите плиз разобраться

Последний раз редактировалось cRYSMAS; 17.02.2010 в 10:41. Причина: Добавлено сообщение
cRYSMAS вне форума   Ответить с цитированием Вверх
Старый 17.02.2010, 11:59   #20
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
По умолчанию

Цитата
Сообщение от cRYSMAS Посмотреть сообщение


Добавлено через 4 минуты
у мну тоже такая трабла я начинающий помогите плиз разобраться
Проанализируй откуда и куда идут запросы и отпишись)
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:37. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях