пропозиції роботи
Piotr Kaleta ------------
Temat: Przepuszczający Windows FireWall?
witam ponownie,wychodzi na to, że potrzebuję pogłębić temat zapoczątkowany niedawnym wątkiem o WireShark'u :)
Sytuacja jest taka, że pojawił się jakiś IP - powiedzmy 2.50.128.xx - próbujący po 3389 nawiązać połączenie. Po wykryciu tej próby na wejściu i wyjściu został zablokowany na Windowsowym FW (Adresy IP / zakres adresów IP) regułą: "od: 2.50.0.0 do: 2.50.255.255"
z logów FW wynika, że
2016-08-11 05:45:33 DROP TCP 2.50.128.xx 192.168.1.xx 28198 3389 52 S 861747798 0 65535 - - - RECEIVE
niby jest to (a przynajmniej było) OK, tyle, że ostatnio zauważyłem to:
2016-08-19 13:28:00 DROP UDP 192.168.1.xx 2.50.128.xx 137 137 0 - - - - - - - SEND
2016-08-19 13:28:02 DROP UDP 192.168.1.xx 2.50.128.xx 137 137 0 - - - - - - - SEND
2016-08-19 13:28:03 DROP UDP 192.168.1.xx 2.50.128.xx 137 137 0 - - - - - - - SEND
czyli, że coś z monitorowanego serwera próbuje się łączyć z tym IP :( WS dla tej sesji zarejestrował 17 pakietów. Tyle, że to nie pojedynczy "kwiatek", mam takich "niby" zablokowanych a jednak komunikujących się IP kilkanaście, próby logowania od kilku dni codziennie a liczba rejestrowanych przez WireShark'a pakietów jest naprawdę duża :(
Pytania:
- co skopałem?
- jak naprawdę skutecznie zablokować tego typu ruch?
