大量のポートスキャンを行うにはどうすればよいですか?
コンピューターでSymantec Endpoint Protectionを実行しているときに、Linksysルーターにワイヤレスで2つのデバイスを接続しています。数日前、ケーブルをコンピューターに直接接続してインターネットを使い始めました。なんらかの理由で私のルーターのダウンロード速度が遅くなります-運が悪ければそれを修正しようとしましたが、おそらく時代遅れです。とにかく、ケーブル経由で直接接続した後SEPは、ネットワークの一部ではない特定のIPによってポートスキャンされていることを通知し始めました。これはヨーロッパです。SEP IPを600秒間自動的にブロックしました。その後、世界中のさまざまなIPによって継続的にポートスキャンが行われていることに気付きました。理解しているように、これはごく普通のことであり、遅れている場合は心配する必要はありません。ファイアウォール。ただし、前述のIPは、他のさまざまなIPと一緒に約1分ごとにポートスキャンを繰り返し実行します。ルーターでワイヤレス経由で接続した後、SEPがこれらのIPのログを記録しないことに気付きましたルーター以外のIPは既にブロックされています。SEPで既にIPをブロックしていますが、ルーターログに表示されるIPをスキャンし続けます。ルーターは、SEPのようにIP接続をブロックできません。
セキュリティを向上させるために他に何ができるか知りたいのですが。
どのポートを開いたままにし、どのポートを閉じる必要がありますか?私が正しく理解している場合、IPはスキャン可能なオープンポートをスキャンしていますが、インターネットが機能するために特定のポートが常に開いているとは限りませんか?
ルーターに転送されているポートがありません。 Windowsファイアウォールで開いているアプリケーション固有のポートがいくつかあります。これらのポートを介してハッキングされることはありますか?
重いポートスキャンが遅いルーター/ワイヤレス速度の背後にある理由ですか?
同じIPが何度も繰り返されるのはなぜですか?誰かが私のコンピュータをハッキングしようとしていますか?
- セキュリティを向上させるために他に何ができるか知りたいのですが。
まず、linksysデバイスに最新のファームウェアを使用していることを確認してください(使用している場合)。 Windows PCを直接インターネットに接続することはお勧めしません。そうすることで、潜在的な攻撃者がターゲットマシンに関する情報に直接「アクセス」して情報を収集することができます。これを防ぐには、SEPとWindowsファイアウォールしかありません)繰り返しますが、システムが最新の状態である場合は、リスク要因が減少します。
私の意見では、最も安全な方法は、PCとインターネットの間の小さなLinuxデバイス(Raspberry Piなど)です。 Alexeyが言及しているすべてのソリューションを使用でき、必要に応じてカスタマイズできます。このようにして、ポートスキャンやネットワーク攻撃に対して多くの防御策を講じることができます。
- どのポートを開いたままにし、どのポートを閉じる必要がありますか?私が正しく理解している場合、IPはスキャン可能なオープンポートをスキャンしていますが、インターネットが機能するために特定のポートが常に開いているとは限りませんか?
ポートスキャンと攻撃に関する簡単な説明:
ほとんどのポートスキャンは、既知の下位ポート( 既知のポート )をスキャンしてサービス(FTPサーバー、SMTPサーバーなど)を検索し、それらを利用してマシンにアクセスできるようにします。このようなサービスの古いバージョンを実行している安全でないサーバーがいくつあるか想像できません。ほとんどのエクスプロイト攻撃は自動的にスキャンを実行し、結果をエクスプロイトデータベースと比較して、適切なエクスプロイトがある場合は攻撃します。スケーリングのために、これらの攻撃はしばしばスクリプト化されています。 「脆弱なポート」とは、安全でないサービスや古いサービスがマシンで待機しているポートです。
->デフォルトで開いたり閉じたりする必要のあるポートはありません。もちろん、最も安全な方法は、単一のポートを開かない/インターネットからの着信接続をリッスンするマシンにサービスがないことです。
そうです、インターネットに接続している場合、マシン上に特定の開いているポートがあります( エフェメラルポート を参照)。例:Firefoxを使用してhttpサーバーに接続します。 Firefoxは、一時ポート(50000など)でマシンのソケットを開き、httpポートとサーバーポート80(既知のポート)でパケットを送受信します。ただし、Firefoxはそれ自体が開始した接続からのパケットのみをリッスンするため、シナリオではそれらについて心配する必要はありません。
- ルーターに転送されているポートがありません。 Windowsファイアウォールで開いているアプリケーション固有のポートがいくつかあります。これらのポートを介してハッキングされることはありますか?
2.の回答を参照してください。そのようなポートでリッスンしているサービスがある場合、それらのサービス/アプリケーションは潜在的に悪用される可能性があります。繰り返しますが、それらを最新に保つことはリスクを減らします。
- 重いポートスキャンが遅いルーター/ワイヤレス速度の背後にある理由ですか?
アレクセイの答えを見てください、それは理由ではありません。
- 同じIPが何度も繰り返されるのはなぜですか?誰かが私のコンピュータをハッキングしようとしていますか?
もちろん、そうなります。 「ハッカー」はポートスキャンを使用して、侵入したいシステムに関する情報を収集します。しかし、一部の中国の自動化スクリプトは、同じターゲットを何度も繰り返し使用しているという点ではるかに悪い可能性があります。回答2で述べたように、これらの攻撃は、結果を出すために、多くの多くのマシンでいくつかの攻撃ベクトルをスケーリングするようにスクリプト化されることがよくあります。
宜しくお願いします
私のレシピは今も今も:
- Portsentry
- 適切なファイアウォール
- 小売NMAP
- 逆引きDNSのwhoisから
abuse@xxxへのPerlスクリプトによる自動メール - 悪意のあるIPのブラックリストへの自動レポート
- 不正なIPのリストをHTTPS/SMTPS/IMAPS/POP3Sに適用する
うまくいきましたが、サポートに時間がかかりました
いつものように遅い...しかし私がやったことはここにある-ACL /すべての非US/CANトラフィックをブロックした。
nirsoft.netを使用すると、csvリストをダウンロードでき、ファイアウォールに簡単に変換できます。私の場合、RIPE/APNIC/AFNIC/LACNICから派生したものであり、この順序で集中攻撃が主にRIPEとAPNICから発信されているため、効果的でほとんどの不要なトラフィックをクリアします。そこから、接続試行が発生したときに作成されるログを生成するためのルールをいくつか作成します。私は、対処する米国のより小さなブロックのうちの4つを持っている場合があり、それが悪質で迷惑な場合は、いくつかのケースでもISPでフォローアップしました。ロードされていないサイトをサーフィンし、表示し始めたら、ソースIPを見つけて、実装された非uss ACLの前にそれらを許可します。本当に効果的です。