On Mon, 18 Nov 2002, Jakub Ambrożewicz wrote: > Same warunki: uważasz, ewentualnego. Zatem to tylko przypuszczenie, > zatem o niczym nie przesądza, zatem reagowanie w jakikolwiek sposób poza > ewentualnym mailem z pytaniem "czemu skanujesz" jest bezpodstawne i > równa się strzelaniu do przechodniów, którzy przechodzą obok twojego > samochodu "bo któryś może być złodziejem". A że niektórzy nie są? Jakieś > ofiary mogą być?
W tej konkretnej sprawie pewnym mozna byc tylko po dokonaniu wlamania - a ja wole do niego niedpuscic (utrudnic je) - wiec reaguje. Jakiekolwiek zezwolenie, lub olanie skanowania portow uwazam za ... duze nieporozumienie, i zle pojmowane obowiazki. > > > > W dalszym ciągu nie widzisz różnicy pomiedzy wejściem na strone a > > przeskanowaniem maszyny na obecnosc otwartych portów ? > > No to ja ci już nic nie wytłumacze. > Otwarcie strony www zapoczątkowywane jest przez otwarcie połączenia z > portem. Skanowanie to otwarcie połączenia z portem. Widzisz analogię? Na > tej właśnie podstawie twierdzę że nie ma różnicy. Otwarcie strony nastepuje na ustalonyum porcie - skan kilku tysiecy portow na pewno nie nazwe "przeglądaniem witryny". > Co to ma do rzeczy? Mówisz że musisz sprawdzać czy ktoś kogoś w sieci > nie skanuje? Jak? Podsłuchując transmisję? Czy ufając logom, które mogę > sobie w edytorze napisać i wysłać ci pocztą? Albo logom, które na > spoofowanie są mało odporne? Wysyłasz logi, dokładna data h:m - porównuje z logami na maszynach i ruterach - zgadzaja sie - masz racje, nie zgadzaja się - olewam doniesienie. Proste, łatwe i przyjemne. > > > > Wybacz, ale jesli w przeciągu 12 godzin widze .. powiedzmy 5.000 prób > > połączen z jednego adresu na porty 1-32000 - uważam to za ewidentny skan. > > > "Chciałem sprawdzić czy coś udostepniasz na ftp'ie a nie wiedziałem na którym > porcie u ciebie działa" zamyka ci usta? nie - wręcz przeciwnie - zaczynają się śmiać... Podobnego (i rownie bezsensownego) tłumaczenia jeszcze nie widzialem. > > > > Kwestia wspólpracy administratorów po drodze - dotychczas nie mialem > > żadnego probemu. > Jakie po drodze? Zmieniam sobie w twojej lokalnej sieci hwaddr (załóżmy > najpopularniejszy ethernet), ip skanuję, zmieniam na powrót i jak do > mnie trafisz? > Nie będę wdawał się w budowe sieci, ale uwierz mi - jesli użytkownik z mojej sieci coś skanował, to ja moge to sprawdzic. Spoffowanie ip - straci siec, pakiety sie gubia, nic do niego nie dosciera i nie wychodzi. (btw - chcialbym zobaczyć skanning ze spoofowanym IP - chyba że rozmawiamy o dwóch róznych rzeczach.) Zmiania maca - identycznie - automatyczny brak sygnalu. Huh, daleko nie szukajac : Nov 18 13:34:30 SRC=195.158.148.27 DST=xxx.xxx.xxx.12 PORT=22 Nov 18 13:34:33 SRC=195.158.148.27 DST=xxx.xxx.xxx.13 PORT=22 Nov 18 13:34:35 SRC=195.158.148.27 DST=xxx.xxx.xxx.14 PORT=22 Nov 18 13:34:39 SRC=195.158.148.27 DST=xxx.xxx.xxx.15 PORT=22 Nov 18 13:35:12 SRC=195.158.148.27 DST=xxx.xxx.xxx.16 PORT=22 Nov 18 13:35:22 SRC=195.158.148.27 DST=xxx.xxx.xxx.17 PORT=22 Nov 18 13:35:31 SRC=195.158.148.27 DST=xxx.xxx.xxx.18 PORT=22 Nov 18 13:35:40 SRC=195.158.148.27 DST=xxx.xxx.xxx.19 PORT=22 Nov 18 13:35:51 SRC=195.158.148.27 DST=xxx.xxx.xxx.20 PORT=22 Nov 18 13:36:09 SRC=195.158.148.27 DST=xxx.xxx.xxx.21 PORT=22 Nov 18 13:36:16 SRC=195.158.148.27 DST=xxx.xxx.xxx.22 PORT=22 itd itd az do bcasta Rozumiem że to też niewinna ciekawość ? -- Kowalski Paweł [EMAIL PROTECTED] | [EMAIL PROTECTED]
