Paljon tunkeutumisyrityksiä

porttiin 3128

Vilkaisin sitten tässä palomuurin lokitiedostoja, ja huomasin sen mielestäni erikoisen ilmiön, että käytännössä kaikki tunkeutumisyritykset ovat kohdistuneet porttiin numero 3128. Testasin sitten netistä löytämälläni ShieldsUp porttiskannausohjelmalla (mikä on tietojeni mukaan luotettava) että olisiko käyttämässäni palomuuriohjelmassa mahdollisesti jotain vikaa kyseisen portin suojauksessa, mutta tämä portti (3128) näytti olevan suojattuna (stealth) samalla tavoin kuin kaikki muutkin portit mitkä tarkistin.

Mahtaisiko kukaan tietää, mistä tällainen vain ja ainoastaan yhteen tietoliikenne porttiin kohdistuneet tunkeutumisyritykset voivat johtua, ja onko tällanen ilmiö merkki jostain mahdollisesta tietoturvaongelmasta palomuurissa ?

7

530

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • zxcvbnm

      Portti 3128 on oletuksena Squid proxyssä. Olisikohan niin että olet saanut sellaisen ip-nimeron, jossa oli aiemmin proxy. Nyt selaimet yrittävät vanhalla osoitteella ja pyynnöt tulevat sinulle.

      Näistä yhteydenavauspyynnöistä ei ole mitään haittaa. Koneen tehoja ne eivät syö eikä nettikaistaakaan juuri kulu. Luultavasti näitä paketteja tulisi vähemmän, jos koneesi vastaisi standardin mukaisesti. Nyt palomuurisi vain hävittää ne.

      "Tunkeutumisyritys" taas on palomuurintekijän termi aivan normaalille yhteydenavauspyynnolölle. Saadaan palomuuri kuulostamaan hyödylliseltä. Vaikka sinulla ei olisi palomuuriakaan niin koneesi vastaisi vain ICMP paketilla "Destination Unreachable".

      • ap.

        Minulla siis ei ole kiinteää ip-osoitetta, ja noita yhteydenavauspyyntö/tunkeutumisyrityksiä on tullut vaikka ip-osoite on vaihtunut välillä.

        Mikä standardinmukainen vastaus ?

        Hmm, mielenkiintoista. Eli nettiin liitetty tietokone ei siis mielestäsi kenties olisikaan tuhon ja tunkeilijoiden oma ilman palomuuria, vai..? Enpä ole tuollaiseen tietoon aikaisemmin törmännyt. Mistähän saisi lisää tietoja asiasta ?

      • 3128

        Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia.

        "Tunkeutumisyritys" kuten sen itse ilmaisit ei ole ainoastaan termi normaalille yhteydenotolle vaan sillä määritellään vihamielinen yhteydenotto koneella ajettavaan palveluun jonka tarkoituksena on saada joko pääsy koneelle tai palveluun.

        Palomuuritta ei Windows käyttäjä saa olla ikinä, kone kyllä kertoo paljon muutakin tietoja kuin vain ping pyyntöihin vastailua. Jos ei muisti ihan petä niin pelkästään Windows XP Home versiossa on 10 porttia auki oletuksena jotka ovat nähtävissä/käytettävissä ilman palomuuria.

      • zxcvbnm
        ap. kirjoitti:

        Minulla siis ei ole kiinteää ip-osoitetta, ja noita yhteydenavauspyyntö/tunkeutumisyrityksiä on tullut vaikka ip-osoite on vaihtunut välillä.

        Mikä standardinmukainen vastaus ?

        Hmm, mielenkiintoista. Eli nettiin liitetty tietokone ei siis mielestäsi kenties olisikaan tuhon ja tunkeilijoiden oma ilman palomuuria, vai..? Enpä ole tuollaiseen tietoon aikaisemmin törmännyt. Mistähän saisi lisää tietoja asiasta ?

        Tuo Squid oli vain arvaus koska Squid kuuntelee oletusasetuksilla tuota porttia. Sinänsä kaikki portit ovat täysin samanlaisia ja mitä tahansa porttia voi käyttää.

        Yleensä kuitenkin kaikki verkkoa kuuntelevat ohjelmat käyttävät tiettyjä portteja (ftp 21, ssh 22, http 80, pop3 110, jne). Toiminta on näin yksinkertaisempaa kun tuota porttia ei tarvitse säätää. Muuten nettiosoitteessakin pitäisi olla aina portti mukana tähän tyyliin. http://jokukone.jossakin:porttinumero.

        Internet protokollan mukaisesti koneen tulee vastata "tyhjään" porttiin ICMP-paketilla, jolla kerrotaan ettei "ketään ole kotona". Tällöin yhteyttä yrittävä kone tietää ettei yhteyttä voi syntyä eikä yritä enää uudestaan. Jos palomuuri on "stealth" tilassa, se ei lähetä vastauspakettia ja yhteyttä yrittävä kone saattaa sitkeästikin yrittää lähettämällä jatkuvasti yhteydenavauspyyntöjä.

        Koneeseen ei suinkaan tulla verkosta kuin telttaan. Vasta kun jokin palvelu alkaa kuunnella tulevaa liikennettä voi yhteyden muodostaa mikäli palvelu sen sallii.

        Monet Linux-jakelut kuten Debian ja siihen perustuva Ubuntu eivät laita palomuuria päälle asennuksessa vaikka se kuuluu Linuxin ytimeen ja on automaattisesti mukana.

        Windowsin kohdalla tilanne on ongelmallisempi koska se asennusvaiheessa lisää heti turhia palveluita verkkoa kuuntelemaan. Lisäksi näissä palveluissa on löydetty paljon ohjelmavirheitä, joita haittaohjelmat voivat käyttää hyväkseen. Myös korjaukset tulevat Windowsiin yleensä hitaasti toisin kuin Linux-jakeluilla, joissa korjaus saattaa olla saatavilla jo muutaman tunnin kuluttua ohjelmavirheen löytymisestä.

        Näiden turhien automaattisesti asennettavien palveluiden kytkeminen pois päältä ei tavalliselta Windows-käyttäjältä onnistu. Eikä ole edes tietoinen niistä. Ongelmaa yritetään sitten korjata estämällä yhteyden avauspyyntöjen tulo näille ohjelmille palomuurilla. Siis purukumiviritys.

        On vain kysymys riskistä, jota turhat palvelut lisäävät. Kyseessä ei kuitenkaan ole suuri uhka koneelle kunhan vain kaikki turvapäivitykset ovat kunnossa. Ylivoimaisesti suurin osa haittaohjelmista pääsee koneelle aivan muuta kautta kuten sähköpostin mukana. Lisäksi käyttäjä voi asentaa itse haittaohjelmia haaliessaan kaikenkarvaisia ohjelmia pitkin nettiä.

        Asiasta kiinnostuneen kannatta hake kirjastosta jokin verkkoasiaa käsittelevä suomenkielinen kirja. Perusasiat on paljon helpompi oppia suomeksi.

      • tumpelo
        3128 kirjoitti:

        Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia.

        "Tunkeutumisyritys" kuten sen itse ilmaisit ei ole ainoastaan termi normaalille yhteydenotolle vaan sillä määritellään vihamielinen yhteydenotto koneella ajettavaan palveluun jonka tarkoituksena on saada joko pääsy koneelle tai palveluun.

        Palomuuritta ei Windows käyttäjä saa olla ikinä, kone kyllä kertoo paljon muutakin tietoja kuin vain ping pyyntöihin vastailua. Jos ei muisti ihan petä niin pelkästään Windows XP Home versiossa on 10 porttia auki oletuksena jotka ovat nähtävissä/käytettävissä ilman palomuuria.

        "Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia."

        minulla taitaa olla tämä tilanne, haittaako pahasti jos suljen portin? ohjeita?

      • merkki.
        tumpelo kirjoitti:

        "Portti 3128 voi olla myös troijalaisten/virusten käytössä, muistaakseni ainakin kaksi troijalaista käyttää nimenomaan tuota porttia."

        minulla taitaa olla tämä tilanne, haittaako pahasti jos suljen portin? ohjeita?

        http://www.dojotech.com/InstantUpload/Taskmanager.png
        Portit ovat "suljettuina", jos jokin ohjelma koneellasi ei kuuntele (listening) sitä.
        Palveluista voit karsia turhia pois. Tarkkana kuitenkin, pitää vähän ymmärtää mitä tekee. Jälkeenpäin voi olla vaikea muistaa mitä on karsinut, jos joku juttu ei toimikaan.http://www.blackviper.com/News/current.htm
        Prio-palikka tuo kätevän lisän taskmanageriin. Näyttää palvelut ja TCP/IP:t.

      • unohtui
        merkki. kirjoitti:

        http://www.dojotech.com/InstantUpload/Taskmanager.png
        Portit ovat "suljettuina", jos jokin ohjelma koneellasi ei kuuntele (listening) sitä.
        Palveluista voit karsia turhia pois. Tarkkana kuitenkin, pitää vähän ymmärtää mitä tekee. Jälkeenpäin voi olla vaikea muistaa mitä on karsinut, jos joku juttu ei toimikaan.http://www.blackviper.com/News/current.htm
        Prio-palikka tuo kätevän lisän taskmanageriin. Näyttää palvelut ja TCP/IP:t.

        http://www.blackviper.com/News/current.htm

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Et olisi piilossa enää

      Vaan tulisit esiin.
      Ikävä
      74
      3345

    2. Loukkaantunut lapsi on yhä kriittisessä tilassa

      Seinäjoella Pohjan valtatiellä perjantaina sattuneessa liikenneonnettomuudessa loukkaantunut lapsi on yhä kriittisessä t
      Kauhava
      31
      1921

    3. Minä en ala kenenkään perässä juoksemaan

      Voin jopa rakastaa sinua ja kääntää silti tunteeni pois. Tunteetkin hälvenevät aikanaan, poissa silmistä poissa mielestä
      Ikävä
      68
      1909

    4. Tiedän, että emme yritä mitään

      Jos kohtaamme joskus ja tilaisuus on sopiva, voimme jutella jne. Mutta kumpikaan ei aio tehdä muuta konkreettista asian
      Ikävä
      17
      1446

    5. Miten hetki

      Kahden olisi paras
      Ikävä
      28
      1391

    6. Mitä, kuka, hä .....

      Mikähän sota keskustassa on kun poliiseja on liikkeellä kuin vilkkilässä kissoja
      Kemi
      26
      1308

    7. Näin pitkästä aikaa unta sinusta

      Oltiin yllättäen jossain julkisessa saunassa ja istuttiin vierekkäin, siellä oli muitakin. Pahoittelin jotain itsessäni
      Ikävä
      6
      1296

    8. Noh joko sä nainen oot lopettanut sen

      miehen kaipailun jota sulla EI ole lupa kaivata. Ja teistä ei koskaan tule mitään. ÄLÄ KOSKAAN SYÖ KUORMASTA JNE! Tutu
      Ikävä
      63
      1207

    9. Taisit sä sit kuiteski

      Vihjata hieman ettei se kaikki ollutkaan totta ❤️ mutta silti sanoit kyllä vielä uudelleen sen myöhemmin 😔 ei tässä oik
      Ikävä
      10
      1197

    10. Kerro nainen

      Milloin huomasit, että kyse ei ole ihastumisesta vaan jostain selvästi vakavammasta.
      Ikävä
      53
      965
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt