D-Link • Просмотр темы - kernel: Intrusion в логе модема что это такое

Сообщения без ответов | Активные темы

Список форумов » ADSL и последняя миля

Часовой пояс: UTC + 3 часа

kernel: Intrusion в логе модема что это такое

Модераторы: Sergei Asmankin, Sergik, Vladimir Degtyarev, Davydov Denis

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

maxim_minton

Заголовок сообщения: kernel: Intrusion в логе модема что это такое

Добавлено: Чт фев 25, 2010 20:33

Зарегистрирован: Пт фев 13, 2009 00:03
Сообщений: 33

Код:

Feb 25 19:26:43 user alert kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=92.16.212.13 DST=92.113.77.240 LEN=64 TOS=0x00 PREC=0x00 TTL=31 ID=57910 DF PROTO=TCP SPT=3767 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0  
Feb 25 19:26:46 user alert kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=92.16.212.13 DST=92.113.77.240 LEN=64 TOS=0x00 PREC=0x00 TTL=31 ID=58798 DF PROTO=TCP SPT=3767 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0  

Модем 2600, кусок лога, нужно с этим бороться, и если да. то как. модем иногда теряет линк и не поднимает его потом, только после перезагрузки полной. Прошивка последняя 1_23

Вернуться наверх

maxim_minton

Заголовок сообщения:

Добавлено: Пн мар 01, 2010 15:01

Зарегистрирован: Пт фев 13, 2009 00:03
Сообщений: 33

Что? Никто не знает, даже тех.поддержка?

Вернуться наверх

Виктоp

Заголовок сообщения:

Добавлено: Пн мар 01, 2010 16:48

Зарегистрирован: Ср окт 15, 2008 07:30
Сообщений: 68
Откуда: Astana, KZ

читай внимательно форум - уже обсуждалось!

Вернуться наверх

maxim_minton

Заголовок сообщения:

Добавлено: Вт мар 02, 2010 20:53

Зарегистрирован: Пт фев 13, 2009 00:03
Сообщений: 33

Уважаемый, раз Вы так много знаете про обсуждение на форуме. дайте ссылку на СООБЩЕНИЕ, где это обсуждалось. Поиском ничего по проблемме не нашел.

Вернуться наверх

kDn

Заголовок сообщения:

Добавлено: Ср мар 03, 2010 18:52

Зарегистрирован: Пт сен 12, 2008 16:52
Сообщений: 706

maxim_minton писал(а):

Это сообщения от SPI-фаервола о блокировании SYN-флада. Поиск на этом форуме действительно убогий, но обсуждается этот вопрос по несколько раз в квартал.

Подытожу: сообщения нормальны, чаще всего наблюдаются у тех, кто использует p2p-клиенты.

Вернуться наверх

Виктоp

Заголовок сообщения:

Добавлено: Ср мар 03, 2010 21:28

Зарегистрирован: Ср окт 15, 2008 07:30
Сообщений: 68
Откуда: Astana, KZ

при чём тут p2p-клиенты?!!!

Вернуться наверх

Виктоp

Заголовок сообщения:

Добавлено: Ср мар 03, 2010 21:40

Зарегистрирован: Ср окт 15, 2008 07:30
Сообщений: 68
Откуда: Astana, KZ

maxim_minton писал(а):

плохо искали значит! вот, например, похожий вопрос и ответ техподдержки: viewtopic.php?t=113948

Вернуться наверх

maxim_minton

Заголовок сообщения:

Добавлено: Чт мар 04, 2010 14:49

Зарегистрирован: Пт фев 13, 2009 00:03
Сообщений: 33

Вот за это спасибо, видать искомые слова были под кодами, и поиск их не брал.
Но там нет ответа, что делать, пусть фаервол остается включенным?

Вернуться наверх

kDn

Заголовок сообщения:

Добавлено: Пт мар 05, 2010 02:49

Зарегистрирован: Пт сен 12, 2008 16:52
Сообщений: 706

Виктоp писал(а):

при чём тут p2p-клиенты?!!!

Вам теорию p2p-протоколов/сетей и множественных соединений рассказать чтоль? SYN пакеты для чего надо в курсе? Если нет - в гугл)))

Вернуться наверх

Виктоp

Заголовок сообщения:

Добавлено: Пт мар 05, 2010 17:40

Зарегистрирован: Ср окт 15, 2008 07:30
Сообщений: 68
Откуда: Astana, KZ

kDn писал(а):

лучше расскажи зачем это какому-то p2p-клиенту ломиться на 135 порт "жертвы"?

Вернуться наверх

kDn

Заголовок сообщения:

Добавлено: Пт мар 05, 2010 20:43

Зарегистрирован: Пт сен 12, 2008 16:52
Сообщений: 706

Виктоp писал(а):

kDn писал(а):

лучше расскажи зачем это какому-то p2p-клиенту ломиться на 135 порт "жертвы"?

Код:

03.2010   19:17:15   User.Alert   192.168.1.1   kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=178.92.115.118 DST=178.93.150.167 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=53447 DF PROTO=TCP SPT=2370 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 
03.2010   19:04:39   User.Alert   192.168.1.1   kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=78.138.171.131 DST=178.93.150.167 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=19326 DF PROTO=TCP SPT=1395 DPT=44096 WINDOW=65535 RES=0x00 SYN URGP=0 
03.2010   18:54:31   User.Alert   192.168.1.1   kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=178.93.150.137 DST=178.93.150.167 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=54839 DF PROTO=TCP SPT=3387 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 
03.2010   18:47:25   User.Alert   192.168.1.1   kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=88.205.252.4 DST=178.93.150.167 LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=55240 DF PROTO=TCP SPT=40358 DPT=59201 WINDOW=5840 RES=0x00 SYN URGP=0 
03.2010   18:36:29   User.Alert   192.168.1.1   kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=178.93.215.114 DST=178.93.150.167 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=34538 DF PROTO=TCP SPT=2344 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 
03.2010   18:27:00   User.Alert   192.168.1.1   kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=95.28.250.203 DST=178.93.150.167 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=10100 DF PROTO=TCP SPT=52591 DPT=51342 WINDOW=8192 RES=0x00 SYN URGP=0 

А если так? :wink:

Ну даже если и сделать скидку на живущих КидоКонфликеров у народа, дык зачем ломиться на 44096 или 51342? Кто и что там ищет? Или типа сканим клиента массово на предмет какого-нить эксклюзивного сервака?

П.С. Я ни в коем случае не исключаю скана портов, долбежки вирусами и ботами, эксплоиты и прочее... но суть-то вашего замечания в чем? В том что p2p-клиенты тут вообще не при делах? Дык хотя бы IP кешируют и DNS-кэши накапливают. Это уже хорошее подспорье для всяко-разного.

Если же у вас есть особое мнение и какое-нить тайное знание по сему поводу - поведайте, не стесняйтесь. Мне учиться новому совсем не зазорно, я всю жизнь учусь.

Вернуться наверх

maxim_minton

Заголовок сообщения:

Добавлено: Пт мар 05, 2010 22:14

Зарегистрирован: Пт фев 13, 2009 00:03
Сообщений: 33

Мужики, что то Вы совсем в дебри зашли

В принципе вопрос уже практически снят, фаерволл на ПК молчит, сеть держиться.
А такие сообщения появляются даже при подключении телефона по Ви-Фи и спутникового рессивера, на которых вирусы и все прочее явно не наблюдается.
Так что вирусы не мои, если и ломятся, то скорее всего ко мне, но надеюсь фаервол свою работу делает.
Да, торрент у меня есть, он работает.

Вернуться наверх

inoti

Заголовок сообщения:

Добавлено: Пт мар 05, 2010 23:19

Зарегистрирован: Сб ноя 22, 2008 22:16
Сообщений: 150
Откуда: Запорожье

по умолчанию венда в сети ищет принтеры и отложенные задачи. а так же шары на компах. для этого лезет на 135й порт. многие не отлючают эту особенность, потому имеем частые сканы 135го порта.

сканы портов, выходящих за диапазон [0-1023] - возможно поиск UPnP.

_________________
с уважением, Сергей inoti
DSL-2500U/BRU| Укртелеком ОГО!

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » ADSL и последняя миля

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения