locked
Сканирование портов с 192.228.79.200-207 RRS feed

  • Общие обсуждения

  • Добрый день

    Не уверен, что вопрос относится к этой ветке, но все же, так как прояляется изначально он именно на Forefront, то начну отсюда. С недавнего времени (примерно пару недель назад) в логах Forefront стали постоянно появлятся сообщения про сканирования портов с айпишников 192.228.79.200-207. Пакеты UDP. Так как 192.228.79.201 является корневым сервером ДНС, то я предполагаю, что это не связано с реальным сканированием. В чем может быть проблема и куда копать?

    9 декабря 2010 г. 14:18

Все ответы

  • А остальные IP из диапазона к чему относятся у Вас в сети?


    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    13 декабря 2010 г. 12:22
    Модератор
  • Я, вероятно, неправильно выразился. Эти айпи НЕ у нас в сети вообще, и вся подсеть у нас никак не задействована. Корневой сервер домена - это B.root-servers.net - 192.228.79.201.

    Я предполагаю, что так называемое "сканирование" связано с неправильной настройкой днс, что приводит к многочисленным запросам из сети 192.228.79.x, которые ТМГ считает сканированием портов. Но конечно же я не уверен в этом. И вот даже не знаю в каком направлении копать.

    13 декабря 2010 г. 14:28
  • Достаточно плюнуть, TMG сама заблокирует. Или ты хочешь с каждым сканировщиком бороться, так это неблагодарное дело, излишнее, его надо оставить железке.

    --
    With the best regards,
    Anatoly Podgoretsky
    http://www.podgoretsky.com
     
     
    "admmin" <=?utf-8?B?YWRtbWlu?=> сообщил/сообщила в новостях следующее: news:f5eafeed-008b-4a7f-a7b4-07429bd065b7...

    Я, вероятно, неправильно выразился. Эти айпи НЕ у нас в сети вообще, и вся подсеть у нас никак не задействована. Корневой сервер домена - это B.root-servers.net - 192.228.79.201.

    Я предполагаю, что так называемое "сканирование" связано с неправильной настройкой днс, что приводит к многочисленным запросам из сети 192.228.79.x, которые ТМГ считает сканированием портов. Но конечно же я не уверен в этом. И вот даже не знаю в каком направлении копать.


    http://www.podgoretsky.com
    14 декабря 2010 г. 6:48
  • Достаточно плюнуть, TMG сама заблокирует. Или ты хочешь с каждым сканировщиком бороться, так это неблагодарное дело, излишнее, его надо оставить железке.

    Все верно, но я не думаю что корневой сервер будет выполнять сканирование портов. Это, вероятно, неправильная настройка либо ДНС либо портов на ТМГ, которые нужны. Но где что искать я не знаю.

    Для справки: в моей сети есть ДНС-сервер, который находится за ТМГ, и ДНС-сервер на ТМГ. В политике разрешен 1) протокол ДНС с внутренней сети и с ТМГ на внешнюю 2) ДНС с внутренней сети на ТМГ. Ничего другого касательно ДНС не разрешено. Сканирование портов - идут обращения исключительно на порты UDP>10000. Учитывая специфику сканирования и то, что сканирование идет из адресов подсети, где находится корневой ДНС (предполагаю, что возможно это какие-либо вспомагательные сервера для корневого), я считаю что проблема связана с настройками у меня.

    14 декабря 2010 г. 8:04
  • Учитывая специфику сканирования и то, что сканирование идет из адресов подсети, где находится корневой ДНС (предполагаю, что возможно это какие-либо вспомагательные сервера для корневого), я считаю что проблема связана с настройками у меня.
    Нет, вряд ли. Как я понял у Вас регистрируюется скинирование во входящем трафике? Значит Ваши внутренние настройки не при чем. DNS-у достаточно одного 53 порта для работы. Нужно чтобы на той стороне проверили свою инфраструктуру на наличие троянов и т.д.

    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    14 декабря 2010 г. 9:10
    Модератор
  • admmin Медали пользователяМедали пользователяМедали пользователяВаша проблема сохраняется?
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    17 декабря 2010 г. 11:25
    Модератор
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    22 декабря 2010 г. 11:24
    Модератор