В каком логе?

задрота-хакера Джулиана Ассанджа

га-га-га, ламеры на моём лоре. Иди книжки читай, чудо.

> задрота-хакера Джулиана Ассанджа, создателя Викиликс

Убейся.

Ах ты, маленький игнораст.

Может, я все-таки попробую cnort?

Попробуй, домашнее задание выяснить почему snort говно.

> убейся

поддерживаю.

По теме: не знаю. А ты что, у компа постоянно сидишь, или хочешь записи в сислог?

    Snort NIDS
    Bro NIDS
    Prelude Hybrid IDS
    OSSEC HIDS
    Samhain HIDS
    Suricata
    Open Source Tripwire

Как из них лучше? Вроде, как снорт самая распространенная.

> Как узнать, что тебя сканирует nmap?
Поставить IDS

> Как узнать, что тебя сканирует nmap?
Встречный вопрос: а зачем тебе это знать?

Спроси у Ассанджа

А тебе зачем?

> Спроси у Ассанджа
Как раз собирался.

Ыыы, там вендокодировка.

Кто использует её для веба, должен быть гоним из веба ссаными тряпками, и над таким человеком следует всячески глумиться и курощать.

Пентагон на венде? Точно RIP.

sudo nmap -PN -O 214.14.134.23

Starting Nmap 5.00 ( http://nmap.org ) at 2011-04-24 00:09 MSD
Interesting ports on pauweb2b.osd.mil (214.14.134.23):
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.69 seconds

Точнее их офф сайт.

*Передате ТС, пжалуйста(мну зигнорил)*
1 Ты нуб
2

Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2

Вы не поняли. Значит, вас тоже нужно курощать.

ну просканируют и што? Пусть убъется аб стену!

>Попробуй, домашнее задание выяснить почему snort говно.

И почему же?

сканирование - это противоправное деяние или нет?

Противоправное. У любого приличного ISP это в договоре на первых местах идёт. Хотя как обычно, всем по.

Поставь на тачку, сымитируй атаку и узнаешь. Ну и тонны эпических сигнатур атак на всякие win95/98 как бы намекают.

>Поставь на тачку, сымитируй атаку и узнаешь. Ну и тонны эпических сигнатур атак на всякие win95/98 как бы намекают.

Всё понятно. Установку Снорта осилил, а настройку - нет. Только с правилами по умолчанию почти на любой пакет Снорт атаку видит.

И да, с расширениями 2 DoS пережито было, правда вкупе с ISP, которому моментом логи со Snort пересылались.

ню-ню, рассказывай сказки как пережили два детских ддоса. При большом pps снорт сам жрёт проц как олень и устраивает локальный ddos. user-level ids это просто смешно, посмотрю как будешь гигабитный линк им закрывать.

Я так полагаю сценарий был такой: пошла атака, тачка сдохла, накатили жалобу isp и isp решил все проблемы. Вопрос: нахрена тогда нужна свинья? Чтобы она громко орала когда кто-то решил попинговать тачку?

И, эта, от какой атаки он меня защитит от которой нельзя защитится другими способами? Только не говори что он sql-инъекции фильтрует или какую подобную лабуду.

>два детских ддоса

Ололо! Про ДДОС я не писал. Что детские, тоже.

При большом pps снорт сам жрёт проц как олень и устраивает локальный ddos. user-level ids это просто смешно, посмотрю как будешь гигабитный линк им закрывать.

100Мбит до прова закрывает. Расскажи нам, умник, как Снорт ДДОС делает. Мы посмеёмся.

Я так полагаю сценарий был такой: пошла атака, тачка сдохла, накатили жалобу isp и isp решил все проблемы.

Нет, не такой. Снорт задетектил, линия начала лагать, плагин прописал рулесы на дроп, выслали прову и ISP в соседние страны, откуда шла атака, логи. И т.д.

Только не говори что он sql-инъекции фильтрует или какую подобную лабуду.

Не поверишь...

Расскажи нам, умник, как Снорт ДДОС делает. Мы посмеёмся.

После этой фразы сразу видно что нагрузочное тестирование вы не делали. Ну сделай флуд на тачку и увидишь сколько сожрёт. Например, запингуй тачку sudo ping -i0.005 -s1000 <IP>. И ловить им ДДОС это последнее дело.

Снорт это в первую очередь IDS. От доса/ддоса есть более эффективные способы. Причём IDS которая в первую очередь работает с сигнатурами уже известных атак которые давно залатаны.

Теперь можно узнать хотя бы об одной атаке которая была бы успешной если бы не стоял snort. Слабо?

Только не говори что он sql-инъекции фильтрует или какую подобную лабуду.

Не поверишь...

А, так у вас индусокод который защищать надо? Ну, при таком какчестве проектов любые костыли оправданы. Тогда ставьте битрикс, там всяких секьюрити хреномодулей из-коробки навалом. У вас наверно и апач стоит :)

Starting Nmap 5.00 ( http://nmap.org ) at 2011-04-24 12:53 MSD
Interesting ports on 79.170.167.3:
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: FreeBSD 5.X
OS details: FreeBSD 5.4 or 5.5 (x86)

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.60 seconds

Сайт нашего политеха на БСДе? оО Не знал. Даешь ДДос атаки на «родной» Политех.

Я щас сам кучу народа щас в игнор отправил :). Раньше в admin постили интересные задачки, можно было обменяться опытом. Теперь же бОльшая часть посетителей по делу не пишет, только ЧСВ своё тешит. А по уровню развития максимум дневные саппорты.

Скатывается в xakep.ru ... .

Яза бан этого бесполого школьника

OHSHI~

Первый раз я с тобой согласен. А то набижали, понимашь, юные хакиры с неясной ориентацией...

> А тебе зачем?
А почему ви отвечаете вопросом на вопрос?

> А почему ви отвечаете вопросом на вопрос?
А ты почему?

> А ты почему?
Я не отвечаю, я спрашиваю. Так зачем же тебе знать что тебя сканируют? Боишься что узнают какие у тебя сервисы наружу выставлены?

> Я не отвечаю, я спрашиваю. Так зачем же тебе знать что тебя сканируют? Боишься что узнают какие у тебя сервисы наружу выставлены?
Прямо панический страх. Может, мне у доктора показаться?

> Прямо панический страх. Может, мне у доктора показаться?
Покажись ЛОРу. Хотя скорее всего тебе поможет только живительная эвтаназия в виде выкладывания пароля в L-O-R.

> У любого приличного ISP это в договоре на первых местах идёт. Хотя как обычно, всем по.

На основании чего?

>На основании чего?

Не совсем понял вопрос.

Обычно в договоре о предоставление услуг по подключению к Инету, сканирование портов называется «противоправным вмешательством в работу сети», и в скобочках приводят виды таких «вмешательств» - рассылка спама, распространение вирусов, использование программ для сканирования машин, и т.д. Во всяком случае в моих договорах на колокейшн это прописано, да и в договоре на «домашний» Инет это есть.

> в договоре о предоставление услуг по подключению к Инету, сканирование портов называется «противоправным вмешательством в работу сети»
Ничего, у себя в договоре, такого не нашел.

Ух ты, вот круто!

Как узнать, кто я???

//фиксед

Пей меньше или чего там у тебя интересного?

Как определить, что такое сканирование портов?

А что там определять-то? Видим много похожих запросов, отличающихся только портом или айпишником - значит хакиру пора давать по рукам.

вот всегда так: то орем свобода, то по рукам

> то по рукам
По вездесущей, упрямой и нахальной письке.

Не, ну провайдеры и без не шибко орут про свободу. А такая подозрительная рассылка пакетов может быть и безобидным нмапом, и страшным хакирским вирусом, сжигающим железо. Чтобы не разбираться - проще запретить всё.

Вообще, когда я почитал договор со своим провайдером, как-то страшно стало. Такое чувство, что они писали его специально для того, чтобы в случае чего можно было прикрыть любого пользователя.

Нельзя даже ругаться бравым американским матом, играя в хон с маленькими толстыми немецкими густавами (

Ага. именно для этого его и писали. чтоб задницу свою прикрыть.

зы: шифрованный трафик тоже непонятный поток пакетов

> зы: шифрованный трафик тоже непонятный поток пакетов

почему тоже? в случае с nmap как раз всё понятно )

>Ничего, у себя в договоре, такого не нашел.

Хороший пров. У нас один компьютеры, зараженые вирусом, просто в Инет не пускает, а другой еще и на старичку перенаправляет, где предупреждают, что компьютер заражён вирусом, и когда компьютер «вылечат», нужно связаться с провом чтоб обратно включить Инет.

На колокейшене, в разных ISP, иногда рассылку писем клиентам принимают за рассылку спама, и грозят пальчиком. :-)

> Хороший пров
Ну да, скорость не падает, обрывов связи нет. И абонентская плата доступная. Только протокол pppoe иногда доставляет хлопот.