¿Ayúdame a ver qué es esto? (Acerca de Skynet)

El firewall indica que el sistema está bajo ataque

Los llamados "ataques" de programas de firewall personales comunes no son necesariamente ataques de red reales. Muchos programas de firewall utilizarán los más comunes. ataques de red, como transmisiones de red, el acceso nos indicará como un ataque y lo registrará (especialmente hay muchos mensajes de este tipo en la red de área local). Otro "ataque" podría ser que alguien escanee los puertos de su computadora, o que otra persona esté infectada por un virus, que esté usando la computadora infectada para escanear otras computadoras en la red.

En este caso, generalmente, siempre que actualice periódicamente los parches del sistema, estos llamados "ataques" no suelen suponer ninguna amenaza.

Personalmente, creo que este mensaje del programa firewall es sólo un "anuncio" disfrazado. ¡Mira lo útil y poderoso que soy! Hay tantos ataques en Internet y los he interceptado por ti. ¡No hay nada de malo en utilizarme! --Si hay un ataque y te dice que no ha sido interceptado, ¿lo seguirás usando?

Ahora Skynet es popular. En primer lugar, como está fabricado en China, todo el mundo está entusiasmado con él y, en segundo lugar, la función es realmente buena. En tercer lugar, todo el mundo tiene una mayor conciencia de la seguridad.

Pero algunas personas sienten que tan pronto como se abre Skynet, son inmunes a todos los venenos y tienen ideas extremas. Alguien enciende Skynet y el signo de exclamación amarillo parpadea a menudo. La computadora de un hermano se reinició varias veces y pensó que era un ataque de piratas informáticos. Preocupado me pidió que lo comprobara y dijo que había sido atacado. De hecho, no es nada, es sólo un firewall normal que intercepta información.

Puede que haya muchos hermanos que también tengan dudas sobre esto. Sólo estoy explicando algunas preguntas basadas en lo que sé. Espero que sea de utilidad para todos.

Los registros de Skynet generalmente tienen tres líneas:

La primera línea: hora de envío (recepción) del paquete de datos/dirección IP del remitente/puerto de comunicación recíproca/tipo de paquete de datos/puerto de comunicación local

La segunda línea: es el bit de bandera del paquete de datos TCP. Hay seis bits de bandera, a saber: URG, ACK, PSH, RST, SYN, FIN. letra de estas seis banderas, A representa ASK, S representa SYN, etc. Entre ellas, las banderas A, S y F se usan más comúnmente.

ACK: El indicador de confirmación indica que el sistema remoto ha recibido correctamente todos los datos.

SYN: El indicador de sincronización solo es válido cuando se establece una conexión TCP. Solicita al servidor que verifique. la secuencia de la conexión TCP.

FIN: bandera de fin. Los paquetes de datos con este bit de bandera se utilizan para finalizar una sesión TCP, pero el puerto correspondiente aún está abierto y listo para recibir datos posteriores.

RST: Restablecer indicador, se desconoce la función específica.

La tercera línea: Cómo procesar paquetes de datos: los paquetes de datos que no cumplan con las reglas serán interceptados o rechazados, y la pantalla será: "Esta operación es rechazada", es decir, el firewall ha ¡Lo interceptó! Por lo tanto, la otra parte no puede determinar si usted está en línea.

⑴: El más común: intentar usar ping para detectar la máquina

··Establecer "Evitar que otros usen el comando PING para detectar el host" en las reglas del firewall, y su computadora no devolverá un paquete ICMP a la otra parte para que otros no puedan usar el comando PING para detectar la existencia de su computadora. Esta situación es solo una simple detección del comando ping. Por ejemplo: ping 210.29.14.130, aparecerá el siguiente registro:

[11:13:35] Paquete de datos ICMP recibido de 210.29.14.136,

Tipo: 8, Código: 0,

El paquete fue interceptado.

Este registro aparece con mucha frecuencia. El nombre completo de IGMP es Protocolo de administración de grupos de Internet. Es una extensión del protocolo IP y lo utiliza principalmente el host IP para notificar a sus hosts vecinos sobre la membresía del grupo. Por lo general, la apariencia de este registro no indica que la computadora está bajo ataque. Sin embargo, los piratas informáticos pueden escribir programas de ataque, explotar errores en el propio Windows y usar paquetes de datos de formato especial para lanzar ataques en la computadora de destino, causando que el sistema operativo deje de funcionar. la computadora atacada muestra una pantalla azul y falla. Las bombas de pantalla azul generalmente utilizan el protocolo IGMP.

Generalmente, cuando ocurre un ataque IGMP, se mostrará en el registro una gran cantidad de paquetes IGMP de la misma dirección IP. Sin embargo, a veces recibir información tan rápida no significa necesariamente que estén atacando piratas informáticos o virus. A menudo se reciben en la LAN paquetes de datos similares desde la puerta de enlace.

Además: su máquina tiene instalados muchos programas de actualización automática en línea, como Rising, KV, actualización automática de WINDOWS, Trojan star, Magic Rabbit y otros programas. Cuando el proveedor de estos programas es el servidor, él. necesita Al actualizar este software, verifica su cliente y emite instrucciones de actualización. Este proceso de verificación del cliente es hacer PING al cliente. Esto fue ignorado por Duoyoumei. Este es un PING amigable.

··También hay otro registro de información de PING:

[14:00:24] 210.29.14.130 Intente utilizar Ping para detectar esta máquina,

Esta operación fue negada.

En este caso, el escáner generalmente detecta el host. ¡El objetivo principal es detectar si el host remoto está conectado a Internet!

··Si ocasionalmente hay uno o dos, no es nada, pero si muestra N registros de la misma dirección IP, es muy probable que alguien más haya usado una herramienta de piratas informáticos para detectar la información de su host o era un virus. Por ejemplo:

[14:00:24] 210.29.14.45 Intento de utilizar Ping para detectar esta máquina.

La operación fue rechazada.

[14:01:09] 210.29.14.132 Intenté usar Ping para detectar esta máquina.

La operación fue rechazada.

[14:01:20] 210.29.14.85 Intenté usar Ping para detectar esta máquina.

La operación fue rechazada.

[14:01:20] 210.29.14.68 Intenté usar Ping para detectar esta máquina.

La operación fue rechazada.

Si no es obra de piratas informáticos, estas máquinas suelen estar infectadas con virus de ondas de choque. Las máquinas infectadas con "Shock Wave Killer" buscarán vulnerabilidades RPC haciendo ping a otras máquinas en la red. Una vez descubiertas, el virus se propagará a estas máquinas. Las máquinas infectadas con virus de LAN también enviarán mensajes automáticamente. En este caso, asegúrese de aplicar primero un parche de onda de choque y verificar si hay virus. Le di al V-King. Pero las personas en la misma red simplemente no matan el virus y lo ignoran. No tengo más opción que no conectarme a la misma hora que ellos todos los días.

⑵: Algunos registros de información de puertos comunes

··[16:47:24] 60.31.133.146 intentó conectarse al puerto 135 de esta máquina,

Bandera TCP :S,

La operación fue denegada.

Igual que el anterior, es un gusano de onda de choque que explota las vulnerabilidades del servicio RPC. El principal método de ataque de este virus es escanear el puerto 135 de la computadora para atacar. Aún es necesario actualizar los parches de Microsoft.

··[20:01:36] 218.8.124.230 intentó conectarse al puerto NetBios-SSN[139] de esta máquina,

Indicador TCP: S,

La operación es denegada.

Características: Una determinada IP se conecta al puerto NetBios-SSN[139] de la máquina varias veces seguidas, mostrando intervalos de tiempo cortos y conexiones frecuentes

El puerto 139 es utilizado por el puerto del protocolo NetBIOS, cuando el protocolo TCP/IP esté instalado, NetBIOS también se instalará en el sistema como configuración predeterminada. La apertura del puerto 139 significa que el disco duro puede compartirse en la red; los piratas informáticos en línea también pueden saber todo sobre su computadora a través de NetBIOS. NetBIOS es el sistema de entrada y salida de la red, aunque ahora el protocolo TCP/IP se ha convertido en un. protocolo de transmisión ampliamente utilizado, pero el protocolo NetBEUI proporcionado por NetBIOS todavía se usa ampliamente en las LAN. Para máquinas conectadas a Internet, NetBIOS es completamente inútil y puede eliminarse. ¿No? Compruébelo usted mismo

··[16:47:35] 60.31.135.195 intentó conectarse al puerto CIFS[445] de esta máquina,

Indicador TCP: S,

La operación es denegada.

Con el puerto 445 abierto, puedes acceder fácilmente a varias carpetas compartidas o impresoras compartidas en la LAN, pero precisamente por eso, las personas con motivos ocultos tienen una oportunidad

p>

SMB: familia de protocolos de Windows, utilizada para servicios de intercambio de archivos e impresiones.

NBT: Utilice 137(UDP), 138(UDP) y 139 (TCP) para implementar la interconexión a Internet NETBIOS basada en TCP/IP.

En NBT, existe el encabezado de mensaje básico SMB. SMB se puede ejecutar directamente en TCP sin NBT

En Windows NT, SMB se implementa en base a NBT. En WinXP, además de la implementación basada en NBT, SMB también se implementa directamente a través del puerto 445. Cuando WinXP (que permite NBT) se conecta al servidor SMB como cliente, intentará conectarse a los puertos 139 y 445 al mismo tiempo. Si el puerto 445 responde, enviará un paquete RST al puerto 139 para desconectarse y continuar la comunicación. puerto 455. Cuando el puerto 445 no responde, se utiliza el puerto 139.

El puerto 135 se utiliza para proporcionar servicios de comunicación RPC. El puerto 445, al igual que el puerto 139, se utiliza para proporcionar servicios para compartir archivos e impresoras. Normalmente, las máquinas en la LAN comparten y transfieren archivos (puerto 139). Las máquinas conectadas a los puertos 135 y 445 deberían enviar paquetes de datos de forma pasiva, o puede ser una conexión normal sin virus, aunque esta posibilidad es relativamente pequeña. En este caso, por supuesto, es posible utilizar personas que chatean para escanear segmentos de IP. Esto también es común. Los principiantes en técnicas de piratería están completamente obsesionados con el escaneo, pero a menudo no obtienen nada. un vistazo al

El principio del protocolo TCP/IP

Como se mencionó anteriormente, los virus propagados en la LAN harán ping a la máquina LAN. Por supuesto, el host vulnerable no puede escapar del puerto. La conexión que está conectada al puerto 135 es el virus Worm.Blaster. Intentar usar Ping para detectar la máquina también pertenece a esta categoría. Este tipo de detección del puerto 135 generalmente se propaga a través de la red de área local. La IP está constantemente conectada al puerto 135 de la máquina. En este momento, el host remoto no tiene el parche de ondas de choque, el gusano sigue escaneando el mismo segmento de IP (esta es mi propia opinión, los métodos de propagación de ondas de choque WAN y LAN). probablemente sean diferentes, ¡corríjame!)

Una determinada IP se conecta al puerto NetBios-SSN de esta máquina varias veces seguidas [139], que se caracteriza por intervalos de tiempo cortos y conexiones frecuentes. esta vez, las computadoras enumeradas en el registro están infectadas con el "virus Nimda". Las computadoras infectadas con el "virus Nimda" tienen la característica de buscar todos los recursos compartidos disponibles en la red de área local y copiar el virus. a una carpeta compartida con permisos de control total para lograr el propósito de propagar el virus. Este tipo de persona debe ser comprensiva y matar bien el virus.

··[12:37:57] 192.168.177.16 Intentando. para conectarse a esta máquina Intentando conectarse a esta máquina

Tutorial de uso de Skynet: /soft/day-meshwork/day-network/4.htm, puede echarle un vistazo si está dispuesto y tiene tiempo. De hecho, es mejor explorar por tu cuenta que ver tutoriales.