|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Nikolai Yasnov 2:5020/400 03 Dec 2002 08:00:18
To : All
Subject : Порт 3128
--------------------------------------------------------------------------------
Привет всем!
Имеется сетка (которую я пытаюсь администрить), выходящая через
маршрутизатор (или как он правильно называется?) на FreeBSD во внешнюю
сетку (провайдерскую), а из неё в интернет. Все компьютеры имеют
реальные IP-адреса, поэтому маршрутизатор настроен в качестве файрвола
по минимуму (только запрещать выход наружу тем, кому нельзя в интернет,
ну и ещё контролировать (считать) входящий траффик). Hа маршрутизаторе
ещё работают служба DNS, веб- и почтовый сервера. Траффик считаю по всем
машинам отдельно, а на IP маршрутизатора ещё и по кое-каким портам
отдельно. Данные примерно сходятся, то есть сумма по портам 21, 25, 80
отличается от общего входящего траффика по этому IP на 500-1000
кбайт/сутки, не больше. Hо неделю назад начались странности, образовался
какой-то левый траффик. Причём определился по времени - в разное время,
но пиками активности. Явно дело рук человеческих.
Снаружи посмотрел открытые порты. Whatsup Gold v.4.0 показал порты 21 22
23 25 53 79 80 110 111 143 513 514 530 616 5556, а Languard Network
Scanner v.1.25 показал 21 22 23 25 53 79 80 110 111 3128. Маршрутизатор
настраивал другой человек задолго до меня, при мне работал нормально,
поэтому я старался его сильно не трогать. Hо теперь чувствую, что надо
браться за него. Я подозреваю, что наиболее вероятная причина левого
траффика, что кто-то сильно ушлый нащупал открытый порт 3128, и теперь
ходит в интернет через него как через прокси. Конечно, смешно, но до
этого полгода я спал спокойно, потому что ничего странного не замечал, а
то давно бы это дело прикрыл.
Отсюда несколько вопросов от начинающего чайника к уважаемым гуру:
1. Какие порты ещё могут таить опасность, и какой программой наиболее
эффективно их можно прощупать на предмет наличия дыр?
2. Что такое порт 3128, что такое socks, что такое socks-прокси и чем он
отличается от http-прокси на порту 8080 ? Хотя бы дайте ссылку, где об
этом можно почитать, желательно на русском, но можно и на английском или
немецком.
3. Как закрыть порт 3128 снаружи, и можно ли убрать socks совсем?, с
учётом того, что все ходят в интернет напрямую, без всяких прокси.
4. Как запустить tcpdump (с какими параметрами), чтобы набрать
достаточно логов для определения причины и виновника левого траффика?
Пока запустил такую команду:
tcpdump dst имя.сервера.маршрутизатора.ru
но логов очень много, главное не видно размера траффика. Может есть
программы для анализа логов от tcpdump?
5. Где во FreeBSD можно посмотреть следы от этого левого траффика
(где-нибудь в кэше?), чтобы вычислить злоумышленника?
6. Как сделать поиск файлов, созданных в определённый период времени (по
часам)? Как сделать поиск файлов, созданных в прошедшие сутки, я знаю.
Прошу сильно не ругать за неправильную терминологию, но поправки
приветствуются.
Заранее благодарен за любые ответы и советы.
Прошу отвечать в конференцию, Е-мэйл нерабочий.
--
N.Yasnov
Krasnoyarsk, Russia
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
