LINUX.ORG.RU
ФорумAdmin

все равно лезут сообщения типа «net send»


0

0

Есть сеть с кампами вин2к и винХП , в настройках сети у них только TCP/IP и сетевой адаптер . На шлюзе порты закрыты :
135
136
137
138
139
445
555
1433
1434
1900
2000
2001
3100
4276
5000
12345
12346
17300
27374
30100
30102
31337
31338
31785
31789
31791
54320
54321
65000

, дык у всех реальных ИП выскакивают дурацкие сообщения типа как от команды net send , но при анализе пакетов tcpdumpом выясняется следуещее :
эти уроды ( несколько ИП , всегда разные ) лезут на порт 1025 , посылают какойто хитрожопый запрос , от машины получают ответ , и выскакивает эта хня . Порт может быть не только 1025 может быть и чуть выше , 1034 например . Каждый раз разный , но в основном 1025 . Все эти сообщения откровенно говоря заебали . Попробывал закрыть 1025 порт , но они юзают ешо и выше порты . Как бороться от этих ублюдков ? Фаервал ставить ? Всем не поставишь :( На линукс шлюзе порты закрыты для обычного net send , а эти пролазят . Что это за уродство такое ? Или дядя билл какуюто хню встроил в вин2к и винХП которую надо отрубить ? Не буду же я закрывать форвард портов с 1025 по 2024 например .

Мужики , выручайте , спасу нет .
о проблеме я уже начал писать тут :
http://www.linux.org.ru/view-message.jsp?msgid=550241&back=view-group.jsp...

anonymous

Можно попробывать вырубить на виндах службу сообщений :-). А вообще-то надо смотреть че посылают...

anonymous
()
Ответ на: комментарий от anonymous

в том то идело что хотелось бы что бы MESSENGER SERVICE оставался работать , блин .

anonymous
()
Ответ на: комментарий от spirit

угу , когда я при этом смарю на внешнем роутере тцпдампом , а не на внутреннем , какой нафиг спуфинг .
ВОбщим походу лажа эта изза одного ньюанса :
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q330904

"MORE INFORMATION
The Messenger service uses UDP ports 135, 137, and 138; TCP ports 135, 139, and 445; and an ephemeral (that is, short-lived) port number greater than 1024."

т.е. and an ephemeral (that is, short-lived) port number greater than 1024."

этим эти уроды и пользуются .

Есть какие предложения кроме как остановить MESSENGER SERVICE ?

Я так понимаю закрыть форвард 1025-2000 портов нельзя , т.к. сами клиенты обломяться , правильно ?

anonymous
()
Ответ на: комментарий от anonymous

вот кстати пример от тцпдампа :
18:06:57.622987 211.187.57.112.1205 > 1.2.3.4.1025: S 411067679:411067679(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
18:06:57.623861 211.187.57.112.1205 > 1.2.3.4.1025: S 411067679:411067679(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
18:06:57.624326 1.2.3.4.1025 > 211.187.57.112.1205: S 4138150451:4138150451(0) ack 411067680 win 65535 <mss 1460,nop,nop,sackOK>(DF)
18:06:57.625110 1.2.3.4.1025 > 211.187.57.112.1205: S 4138150451:4138150451(0) ack 411067680 win 65535 <mss 1460,nop,nop,sackOK> (DF)
18:06:57.973107 211.187.57.112.1205 > 1.2.3.4.1025: . ack 1 win 17520 (DF)
18:06:57.973337 211.187.57.112.1205 > 1.2.3.4.1025: . ack 1 win 17520 (DF)
18:06:58.063165 211.187.57.112.1362 > 1.2.3.4.1026: udp 667
18:06:58.063385 211.187.57.112.1362 > 1.2.3.4.1026: udp 667
18:06:58.064068 1.2.3.4.1026 > 211.202.152.43.4161: udp 84
18:06:58.064297 1.2.3.4.1026 > 211.202.152.43.4161: udp 84
18:06:58.095194 211.187.57.112.1364 > 1.2.3.4.1027: udp 667
18:06:58.095530 211.187.57.112.1364 > 1.2.3.4.1027: udp 667
18:06:58.096039 1.2.3.4 > 211.187.57.112: icmp: 1.2.3.4 udp port 1027 unreachable
18:06:58.456349 211.202.152.43 > 1.2.3.4: icmp: 211.202.152.43 udp port 4161 unreachable

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin