|
Първо да се похваля, че оправих проблема за смърфинга. Второ да ви кажа, ако още не сте дочули какви мафиоти са тези от Microsoft ® ...
Трето, сега ще ви разкажа какво стана и какво става в момента...
Ами, както каза ShaDow, не е било от DC++. Говорих цели 40 мин с някакъв неграмотен оператор от ИСП-то ми и човечеца накрая ми каза "да се оправям". Т.е., че те не са отговорни за възможни кракерски атаки. Единственото за което са отговорни е да ми осигуряват динамично ИП 24 ч., 365 дена в годината - за жалост и това не го правят.
И си казах "sp, айде сега почваме с рутера"...
Разблокирах и отново блокирах всички възможни УДП портове. По такъв начин успях да спра УДП флууда към абсолютно всички външни ИП-та. Но смърфа продължаваше... Е, тогава се сетих за последните думи на неграмотния оператор. Бях го питала дали е жъзможно да си променя локал хоста и/или да мина на статично ИП. И ония ми обясни, че естествено, че можело. Да съм отваряла Интернет настройките на Уиндоуса и там да съм посочвала ново ИП към рутера. "Е, да, ама - викам му аз - ако барна там ИП-то няма да мога да си влезна изобщо в рутера". И ония ме уверява и осигурява, че, трябва от там да го сменя. Викам хубаво, затворих, и пробвам аз да слушам съвета на неграмотен оператор. И не мога, братко, не мога да се свържа с рутера, щото ми изписва "Duplicated administrator", което означава: "внимавай, че може да прецакаш рутера на комщията от горния етаж".
Усетих аз, че има нещо странно в тая интернет конфигурация, и пробвах да сетна автоматично засичане на ИП адреса. И познайте... с един Аплай ми засича ИП-то и се втурвам да видя какво става в лога. Че чудо ли беше, к'во беше, незнам, ама смърфинга автоматично спря.
Само че да уточня: предните дни проверявах много често това спууфено ИП какви ИП-та съдържа и на кого принадлежат. Най-интересното е, че всичките прелитаха атлантическия океан. т.е., свързваха се от УСА. Имаше даже разни университетски ИП-та. Копирах си лога и го пратих където трябва: на abuse@isp.com. И след 2 дена поучавам имейл, в който ми съобщават, че щали да прехвърлят предоставените от мен данни в отдела който се занимавал с тези неща... С няколко думи: "и мейли да ни пращаш, не ни интересува...".
Второто което трябва да уточня: забелязвали ли сте във Firewall -а на Уиндоус, че ICMP пингът е разрешен по defalut и не може да се деотметне по никакъв начин, освен блокирайки ТСП порт 445? За всеки случай, се погрижих и него да блокирам, но гледайте какво става когато има Ъпдейт на Уиндоус и същевременно порт 17690 на БитКомет е разрешен:
04/03/2007 01:33:40 **UDP Flood Stop** (from ATM1 Outbound)
04/03/2007 01:33:39 **UDP flood** 219.70.249.81, 45527->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:39 **UDP flood** 86.135.137.221, 50878->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:39 **UDP Flood (per Min) Stop** (from ATM1 Inbound)
04/03/2007 01:33:38 **UDP Flood (per Min)** 69.84.124.72, 52119->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:38 **UDP flood** 69.84.124.72, 52119->> 192.168.1.2, 17690 (from ATM1 Inbound)
04/03/2007 01:33:23 Reject packet from 192.168.1.2:17690 to 84.121.34.0:14923
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 203.134.237.246:17953
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 80.203.135.223:11385
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 207.216.59.253:23379
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 222.70.14.96:15174
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 125.24.5.28:17186
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 213.37.58.125:22001
04/03/2007 01:33:11 **UDP Flood (per Min)** 192.168.1.2, 17690->> 87.126.114.240, 48992 (from ATM1 Outbound)
04/03/2007 01:33:11 **UDP flood** 192.168.1.2, 17690->> 87.126.114.240, 48992 (from ATM1 Outbound)
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 59.117.125.155:20834
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 68.36.254.144:8686
04/03/2007 01:33:11 Reject packet from 192.168.1.2:17690 to 85.76.244.88:8817
Легенда: *192.168.1.2 е локоалното ми ИП. *17690 е default порта който използва Биткомет. *АТМ outbound e това което отива от ПАН мрежата на вън, т.е., пакетите които изпращам. *АТМ inbound e противоположното, т.е. пакетите които аз получавам. *След това флууда е спрян от двете страни.
Как пъх забелзях и следното, незнам:
04/03/2007 16:51:01 **UDP flood** 192.168.1.2, 3802->> 85.91.130.74, 1216 (from ATM1 Outbound)
Порт 3802, който 3 пъти погледнах, да не би да съм пропуснала да блокирам в рутера, и не. Същата вечер получавам аз известие за Ъпдейт на програма за валидиране на незнам си какъв фалшив уиндоуски код. Пишеше, че това трябва да се инсталира, за да може Уиндоусът да предпазва от разни пиратски програми, и че, инсталирайки ъпдейта невалидните копии ще имат правото на безплатен лиценз, за валидиране. Да, ама нямаше кой да се хване и не го инсталирах. Обаче, разбрах, че порт 3802 е този който Майкрософт използва.
До днес продължавам да reject-вам всички УДП пакети, включително и от този порт, но отворя ли БитКомет не съм застрахована от UDP flood от страна на Microsoft.
Последно да кажа, че тази сутрин пристига втори ъпдейт за сигурност на Уиндоус. Този път обесняват, че системата не била защитена от хакерски атаки, и че моя компютър бил изложен на голяма опасност ако не се инсталира незабавно. Консултирах и линка който посочват за по-вече информация относно ъпдейта, и в някака страница пише, че ако се инсталира, понеже не е достатъчно изпробван, има вероятност да ти прецака саунд картата, или по-точно RealTek.exe-to.
Ако ми правят някакъв номер за това, че не инсталирах "клопката", и остана без саунд карта, ще намеря начин да ги осъдя!
*Забележка: в страницата на Майкрософт, също има линк за "как се оправя, в случай, че има проблем след ъпдейта". Но за да изтеглиш пакета за поправка, трябва да имаш валидиран кей.
sp2
|
Мамчето на Майкрософт... [re: ShaDoW]
