Paljon tunkeutumisyrityksiä

porttiin 3128

Vilkaisin sitten tässä palomuurin lokitiedostoja, ja huomasin sen mielestäni erikoisen ilmiön, että käytännössä kaikki tunkeutumisyritykset ovat kohdistuneet porttiin numero 3128. Testasin sitten netistä löytämälläni ShieldsUp porttiskannausohjelmalla (mikä on tietojeni mukaan luotettava) että olisiko käyttämässäni palomuuriohjelmassa mahdollisesti jotain vikaa kyseisen portin suojauksessa, mutta tämä portti (3128) näytti olevan suojattuna (stealth) samalla tavoin kuin kaikki muutkin portit mitkä tarkistin.

Mahtaisiko kukaan tietää, mistä tällainen vain ja ainoastaan yhteen tietoliikenne porttiin kohdistuneet tunkeutumisyritykset voivat johtua, ja onko tällanen ilmiö merkki jostain mahdollisesta tietoturvaongelmasta palomuurissa ?

7

546

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • zxcvbnm

      Portti 3128 on oletuksena Squid proxyssä. Olisikohan niin että olet saanut sellaisen ip-nimeron, jossa oli aiemmin proxy. Nyt selaimet yrittävät vanhalla osoitteella ja pyynnöt tulevat sinulle.

      Näistä yhteydenavauspyynnöistä ei ole mitään haittaa. Koneen tehoja ne eivät syö eikä nettikaistaakaan juuri kulu. Luultavasti näitä paketteja tulisi vähemmän, jos koneesi vastaisi standardin mukaisesti. Nyt palomuurisi vain hävittää ne.

      "Tunkeutumisyritys" taas on palomuurintekijän termi aivan normaalille yhteydenavauspyynnolölle. Saadaan palomuuri kuulostamaan hyödylliseltä. Vaikka sinulla ei olisi palomuuriakaan niin koneesi vastaisi vain ICMP paketilla "Destination Unreachable".

      • ap.

        Minulla siis ei ole kiinteää ip-osoitetta, ja noita yhteydenavauspyyntö/tunkeutumisyrityksiä on tullut vaikka ip-osoite on vaihtunut välillä.

        Mikä standardinmukainen vastaus ?

        Hmm, mielenkiintoista. Eli nettiin liitetty tietokone ei siis mielestäsi kenties olisikaan tuhon ja tunkeilijoiden oma ilman palomuuria, vai..? Enpä ole tuollaiseen tietoon aikaisemmin törmännyt. Mistähän saisi lisää tietoja asiasta ?

      • 3128

        Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia.

        "Tunkeutumisyritys" kuten sen itse ilmaisit ei ole ainoastaan termi normaalille yhteydenotolle vaan sillä määritellään vihamielinen yhteydenotto koneella ajettavaan palveluun jonka tarkoituksena on saada joko pääsy koneelle tai palveluun.

        Palomuuritta ei Windows käyttäjä saa olla ikinä, kone kyllä kertoo paljon muutakin tietoja kuin vain ping pyyntöihin vastailua. Jos ei muisti ihan petä niin pelkästään Windows XP Home versiossa on 10 porttia auki oletuksena jotka ovat nähtävissä/käytettävissä ilman palomuuria.

      • zxcvbnm
        ap. kirjoitti:

        Minulla siis ei ole kiinteää ip-osoitetta, ja noita yhteydenavauspyyntö/tunkeutumisyrityksiä on tullut vaikka ip-osoite on vaihtunut välillä.

        Mikä standardinmukainen vastaus ?

        Hmm, mielenkiintoista. Eli nettiin liitetty tietokone ei siis mielestäsi kenties olisikaan tuhon ja tunkeilijoiden oma ilman palomuuria, vai..? Enpä ole tuollaiseen tietoon aikaisemmin törmännyt. Mistähän saisi lisää tietoja asiasta ?

        Tuo Squid oli vain arvaus koska Squid kuuntelee oletusasetuksilla tuota porttia. Sinänsä kaikki portit ovat täysin samanlaisia ja mitä tahansa porttia voi käyttää.

        Yleensä kuitenkin kaikki verkkoa kuuntelevat ohjelmat käyttävät tiettyjä portteja (ftp 21, ssh 22, http 80, pop3 110, jne). Toiminta on näin yksinkertaisempaa kun tuota porttia ei tarvitse säätää. Muuten nettiosoitteessakin pitäisi olla aina portti mukana tähän tyyliin. http://jokukone.jossakin:porttinumero.

        Internet protokollan mukaisesti koneen tulee vastata "tyhjään" porttiin ICMP-paketilla, jolla kerrotaan ettei "ketään ole kotona". Tällöin yhteyttä yrittävä kone tietää ettei yhteyttä voi syntyä eikä yritä enää uudestaan. Jos palomuuri on "stealth" tilassa, se ei lähetä vastauspakettia ja yhteyttä yrittävä kone saattaa sitkeästikin yrittää lähettämällä jatkuvasti yhteydenavauspyyntöjä.

        Koneeseen ei suinkaan tulla verkosta kuin telttaan. Vasta kun jokin palvelu alkaa kuunnella tulevaa liikennettä voi yhteyden muodostaa mikäli palvelu sen sallii.

        Monet Linux-jakelut kuten Debian ja siihen perustuva Ubuntu eivät laita palomuuria päälle asennuksessa vaikka se kuuluu Linuxin ytimeen ja on automaattisesti mukana.

        Windowsin kohdalla tilanne on ongelmallisempi koska se asennusvaiheessa lisää heti turhia palveluita verkkoa kuuntelemaan. Lisäksi näissä palveluissa on löydetty paljon ohjelmavirheitä, joita haittaohjelmat voivat käyttää hyväkseen. Myös korjaukset tulevat Windowsiin yleensä hitaasti toisin kuin Linux-jakeluilla, joissa korjaus saattaa olla saatavilla jo muutaman tunnin kuluttua ohjelmavirheen löytymisestä.

        Näiden turhien automaattisesti asennettavien palveluiden kytkeminen pois päältä ei tavalliselta Windows-käyttäjältä onnistu. Eikä ole edes tietoinen niistä. Ongelmaa yritetään sitten korjata estämällä yhteyden avauspyyntöjen tulo näille ohjelmille palomuurilla. Siis purukumiviritys.

        On vain kysymys riskistä, jota turhat palvelut lisäävät. Kyseessä ei kuitenkaan ole suuri uhka koneelle kunhan vain kaikki turvapäivitykset ovat kunnossa. Ylivoimaisesti suurin osa haittaohjelmista pääsee koneelle aivan muuta kautta kuten sähköpostin mukana. Lisäksi käyttäjä voi asentaa itse haittaohjelmia haaliessaan kaikenkarvaisia ohjelmia pitkin nettiä.

        Asiasta kiinnostuneen kannatta hake kirjastosta jokin verkkoasiaa käsittelevä suomenkielinen kirja. Perusasiat on paljon helpompi oppia suomeksi.

      • tumpelo
        3128 kirjoitti:

        Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia.

        "Tunkeutumisyritys" kuten sen itse ilmaisit ei ole ainoastaan termi normaalille yhteydenotolle vaan sillä määritellään vihamielinen yhteydenotto koneella ajettavaan palveluun jonka tarkoituksena on saada joko pääsy koneelle tai palveluun.

        Palomuuritta ei Windows käyttäjä saa olla ikinä, kone kyllä kertoo paljon muutakin tietoja kuin vain ping pyyntöihin vastailua. Jos ei muisti ihan petä niin pelkästään Windows XP Home versiossa on 10 porttia auki oletuksena jotka ovat nähtävissä/käytettävissä ilman palomuuria.

        "Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia."

        minulla taitaa olla tämä tilanne, haittaako pahasti jos suljen portin? ohjeita?

      • merkki.
        tumpelo kirjoitti:

        "Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia."

        minulla taitaa olla tämä tilanne, haittaako pahasti jos suljen portin? ohjeita?

        http://www.dojotech.com/InstantUpload/Taskmanager.png
        Portit ovat "suljettuina", jos jokin ohjelma koneellasi ei kuuntele (listening) sitä.
        Palveluista voit karsia turhia pois. Tarkkana kuitenkin, pitää vähän ymmärtää mitä tekee. Jälkeenpäin voi olla vaikea muistaa mitä on karsinut, jos joku juttu ei toimikaan.http://www.blackviper.com/News/current.htm
        Prio-palikka tuo kätevän lisän taskmanageriin. Näyttää palvelut ja TCP/IP:t.

      • unohtui
        merkki. kirjoitti:

        http://www.dojotech.com/InstantUpload/Taskmanager.png
        Portit ovat "suljettuina", jos jokin ohjelma koneellasi ei kuuntele (listening) sitä.
        Palveluista voit karsia turhia pois. Tarkkana kuitenkin, pitää vähän ymmärtää mitä tekee. Jälkeenpäin voi olla vaikea muistaa mitä on karsinut, jos joku juttu ei toimikaan.http://www.blackviper.com/News/current.htm
        Prio-palikka tuo kätevän lisän taskmanageriin. Näyttää palvelut ja TCP/IP:t.

        http://www.blackviper.com/News/current.htm

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Ruumis ojassa

      Kukahan lie ollu, mistä lie löydetty. No ikävä tataus.
      Oulainen
      20
      2664

    2. Mitä piirteitä rakastat

      Eniten kaivatussasi?
      Ikävä
      44
      1291

    3. Piilorikollisuutta Puolangan päätöksentekoelimissä? Kyllä! Julkisesti todistettu!

      Kyösti (kesk) rehenteli julkisissa tiedotusvälineissä tehneen jo ennen vaaleja sopimuksen kokoomuksen ehdokkaiden kanssa
      Puolanka
      70
      947

    4. Miten suomalaiset miehet

      On usein niin aikaansaamattomia? Odottavat prinsessapalvelua. Odottavat, että nainen tekee aloitteen, että nainen pyytää
      Ikävä
      138
      925

    5. Anna mulle vielä tilaisuus

      näyttää kuinka susta tykkään.
      Ikävä
      45
      881

    6. Mitkä asiat tekevät

      kaivatustasi vetovoimaisen?
      Ikävä
      61
      842

    7. Muistatko vielä

      Missä nähtiin ensimmäisen kerran? Miehelle.
      Ikävä
      42
      806

    8. Eräs läheinen sanoi

      Että mies kyllä ottaa aina itse yhteyttä, jos on kiinnostunut. Oli tilanne mikä hyvänsä. Kuulemma kuvittelin koko jutun.
      Ikävä
      44
      795

    9. Eduskunnassa valmistaudutaan jo persujen täydelliseen romahdukseen - Koko paska kaatuu hetkessä

      – On mahdollista, että käy kuin Assadin Syyrialle tai Ceaușescun Romanialle: koko paska kaatuu aivan hetkessä, kun tarpe
      Perussuomalaiset
      165
      776

    10. Iloista ja aurinkoista pääsiäistä kaikki palstan kivat sinkut :)

      Täällä on näköjään vähän huono meininki tarttunut kuin tuolta muualta mutta pidetään edelleen tämä puoli suht positiivis
      Sinkut
      134
      725
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt