Cosa posso fare per essere sottoposto a una pesante scansione della porta?

1

Ho due dispositivi collegati in modalità wireless al mio router Linksys mentre eseguo Symantec Endpoint Protection sul mio computer. Qualche giorno fa ho iniziato a utilizzare Internet collegando il cavo direttamente al mio computer. Per qualche motivo il mio router rallenta la velocità di download - ho già provato a risolverlo senza fortuna, probabilmente è obsoleto. Comunque, dopo essermi collegato direttamente via cavo, SEP ha iniziato a notificarmi che sono stato scansionato da un determinato IP che non fa parte della mia rete. È europeo. SEP ha bloccato automaticamente l'IP per 600 secondi. Dopo di ciò ho notato che sono stata sottoposta a scansione continua da diversi IP di tutto il mondo. Come ho capito questo è abbastanza normale e non qualcosa di cui dovrei preoccuparmi se sono dietro un firewall. Tuttavia, l'IP menzionato in precedenza mantiene la porta di scansione di ogni minuto in modo repellente insieme ad altri vari IP. Dopo essermi connesso tramite wireless sul mio router ho notato che il SEP non registra più questi IP ma il mio router lo fa. Ho già bloccato l'IP in SEP. Ma continua a scansionarmi che è visibile nel mio log del router. Il router non è in grado di bloccare le connessioni IP come SEP.

  1. Vorrei sapere cos'altro posso fare per migliorare la mia sicurezza?

  2. Quali porte devo tenere aperte e quali porte devo chiudere? Se capisco correttamente, gli IP stanno eseguendo la scansione di porte aperte che sono venerabili, ma non sono certe le porte sempre aperte per far funzionare Internet?

  3. Non ho alcuna porta inoltrata sul mio router. Ci sono alcune porte specifiche per le applicazioni aperte nel firewall di Windows. Posso essere hackerato attraverso queste porte?

  4. La porta pesante analizza il motivo alla base della velocità del router / wireless lenta?

  5. Perché sono preso di mira dallo stesso IP in modo repellente? Qualcuno sta cercando di hackerare il mio computer?

posta Nakute Marato 23.04.2016 - 22:14
fonte

3 risposte

1
  1. I would like to know what else can I do to improve my security?

Prima di tutto, assicurati di utilizzare il firmware più recente per il tuo dispositivo linksys (se lo usi). Non consiglierei di connettere il tuo PC Windows direttamente a Internet. Ciò consente a un potenziale aggressore di "accedere" direttamente e raccogliere informazioni sul computer di destinazione e c'è solo il tuo SEP e il tuo firewall Windows per impedirlo (e non affiderei la mia vita a quelle soluzioni). Di nuovo, se i tuoi sistemi sono aggiornati, diminuisci il fattore di rischio.

A mio parere il modo più sicuro è un piccolo dispositivo Linux (ad esempio un raspberry pi) tra il PC e Internet. Puoi usare tutte le soluzioni che Alexey ha menzionato e puoi personalizzarlo nel modo che preferisci. In questo modo, potresti avere molte difese contro le scansioni delle porte e gli attacchi di rete.

  1. Which ports should I keep open and which ports should I close? If I understand correctly the IP's are scanning for open ports that are vournable however aren't certain ports always open in order for the internet to work?

Breve spiegazione su portscan e attacchi:

La maggior parte dei portscan analizza le porte meno conosciute ( Porte conosciute ) per trovare servizi (ad esempio FTP server, server SMTP, ecc. in modo che possano sfruttarli per ottenere l'accesso alla macchina. Non puoi immaginare quanti server non sicuri ci siano e che eseguano versioni obsolete di tali servizi. La maggior parte degli attacchi di exploit esegue automaticamente una scansione, confronta i risultati con un database di exploit e attacca se ha un exploit adatto. Per il ridimensionamento, questi attacchi sono spesso programmati. "Porte vulnerabili" sono le porte su cui i servizi non protetti o obsoleti sono in ascolto sulla tua macchina.

- > Non ci sono porte che dovrebbero essere aperte o chiuse per impostazione predefinita. Ovviamente, il modo più sicuro sarebbe quello di non aprire nessuna singola porta o di non avere alcun servizio sulla nostra macchina in ascolto delle connessioni in arrivo da Internet.

Hai ragione, ci sono alcune porte aperte sulla tua macchina se ti connetti a Internet (vedi Porte effimere ) . Esempio: ci si connette a un server http usando firefox. Firefox ora apre un socket sul computer su una porta temporanea (ad es. 50000) per inviare e ricevere pacchetti da / verso il server http sulla porta 80 del server (porta ben nota). Ma Firefox ascolta solo i pacchetti dalla connessione che ha avviato da solo, quindi nel tuo scenario non devi preoccuparti di loro.

  1. I don't have any ports forwarded on my router. There are some application specific ports open in the windows firewall. Can I get hacked through these ports?

Vedi risposta a 2., se si dispone di servizi di ascolto su tali porte tali servizi / applicazioni sono potenzialmente sfruttabili. Ancora una volta, tenerli aggiornati riduce il rischio.

  1. Is heavy port scanning the reason behind slow router/wireless speeds?

Guarda la risposta di Alexey, non dovrebbe essere la ragione.

  1. Why am I being targeted by the same IP repeadetly? Is someone trying to hack my computer?

Certo, potrebbe essere il caso. Un "hacker" usa i portscans per raccogliere informazioni sul sistema che vuole infiltrare. Ma è molto più probabile che alcuni script automatici cinesi siano così dannosi da utilizzare gli stessi obiettivi più e più volte. Come menzionato nella risposta 2, questi attacchi sono spesso programmati per ridimensionare alcuni vettori di attacco su molte macchine là fuori per ottenere risultati.

I migliori saluti

    
risposta data 24.04.2016 - 11:39
fonte
0

La mia ricetta era ed è:

  • Portsentry
  • Firewall corretto
  • Retailing NMAP
  • Invio automatico tramite script Perl a abuse@xxx da whois da DNS inverso
  • Segnalazione automatica alle blacklist per IP dannosi
  • Applicazione di un elenco di IP non validi a HTTPS / SMTPS / IMAPS / POP3S

Ha funzionato e funziona, ma ci è voluto del tempo per l'assistenza

    
risposta data 23.04.2016 - 22:40
fonte
0

In ritardo come sempre ... ma ecco cosa ho fatto- ACL / Blocco tutto il traffico non US / CAN.

nirsoft.net ti permette di scaricare le liste csv ed è facilmente traducibile in qualsiasi firewall. È efficace e cancella la maggior parte del traffico indesiderato poiché nel mio caso era derivato da RIPE / APNIC / AFNIC / LACNIC e in quell'ordine con gli attacchi concentrati provenienti principalmente da RIPE e APNIC. Da lì ho appena formulato alcune regole per generare registri creati man mano che i tentativi di connessione si accumulano. Ho avuto forse 4 dei blocchi statunitensi più piccoli da gestire e anche in alcuni casi seguiti con gli ISP quando è egregio e fastidioso. Quando inizi a navigare e vedi i siti che non si stanno caricando, trova il loro IP sorgente e consenti loro prima dell'ACL non-implementato. E 'davvero efficace.

    
risposta data 30.10.2018 - 23:25
fonte

Leggi altre domande sui tag