Как защитить порты и компьютер от взлома. Часть 1. [Anti Port Scanner]
# опубликовано [08.02.2009] в рубриках: [
Интернет защита и сетевая безопасность]
Как защититься от хакеров, червей и прочей шушеры я уже однажды писал в одноименной статье – “Защищаемся от хакеров, червей и прочей шушеры” 
Однако далеко не всегда есть возможность или желание держать толстый фаерволл под рукой (хотя это необходимо всегда, независимо от ваших желаний\возможностей), а отслеживать атаки и избегать их зачастую очень хочется, ибо даже простейшие, “автономные” типы этих атак зачастую снижают скорость Вашего прибывания в интернете. Вот в этом самом обнаружении поможет небольшая утилита от создателей AVZ под названием..
APS – Anti Port Scanner
Основным назначением данной программы является обнаружение хакерских атак. Как известно, первой фазой большинства хакерских атак является, так сказать, инвентаризация сети и сканирование портов на обнаруженных хостах. Сканирование портов помогает произвести определение типа операционной системы и обнаружить потенциально уязвимые сервисы (например, почту или WEB-сервер). После сканирования портов многие сканеры производят определение типа сервиса путем передачи тестовых запросов и анализа ответа сервера. Утилита APS проводит обмен с атакующим и позволяет однозначно идентифицировать факт атаки.
Что удобно – это компактность. Архив с утилитой занимает какие-то несчастные 500 кб, не требует установки, а сама программа предельно минималистична и проста в управлении, несмотря на сильный функционал.
Вот, собственно, список того для чего она предназначена:
- Для обнаружения разного рода атак (в первую очередь сканирования портов и идентификации сервисов) и появления в сети троянских программ, сетевых червей и прочего мусора.
- Для тестирования сканеров портов и сетевой безопасности.
- Для тестирования и оперативного контроля за работой Firewall (запускаем APS на компьютере с FireWall’ом и, если программа будет выдавать “тревогу” и находить атаки, то Вы сможете понять, что у Вас недостаточно мощный\неправильно настроенный фаерволл и соответственно донастроить или, с чем топор не шутит, сменить его)
- Для блокирования (и обнаружения) работы сетевых червей и Backdoor модулей. Принцип обнаружения и блокирования основан на том, что один и тот-же порт может быть открыт на прослушивание только один раз. Следовательно, открытие портов, используемых троянскими и Backdoor программами до их запуска помешает их работе, а после запуска – приведет к обнаружению факта использования порта другой программой
- Для тестирования антитроянских и антивирусных программ, систем IDS и пр. Дело в том, что в базе APS заложено более сотни портов наиболее распространенных троянских программ. Некоторые антитроянские средства и антивирусы обладают способностью проводить сканирование портов проверяемого ПК (или строить список прослушиваемых портов без сканирования при помощи API Windows) и следовательно сообщать о подозрении на наличие троянских программы с выводом списка “подозрительных” портов. Полученный список легко сравнить со списком портов в базе APS и сделать выводы о надежности применяемого антивируса\антитрояна.
Принцип работы программы основан на прослушивании портов, описанных в базе данных.
Скачать программу можно прямо с моего блога, а именно по этой ссылке, либо с сайта разработчика.
Установка, как я уже говорил, не требуется. Просто запустите программу из архива.
В настройках программы я бы рекомендовал выставить автозапуск, а так же выделение цветом атакованных, запрещенных и прослушиваемых портов.
Предупреждая следующие вопросы – о подробном анализе результатов открытых портов, атак и пр, скорее всего, напишу отдельно, но позже.
Послесловие.
Если что-то не понятно или не получается – пишите или оставляйте комментарии.
PS: Вторая часть статьи на эту тему находится тут.
Пригодилось? Расскажи друзьям:
# статья редактировалась [20.03.2012], # автор:
Sonikelf
Хмм.Прикольная прога.Большое спасибо=)
ОООО!!! Вобще прога куллл! Короче стала орать типа атака на 135 порт(странно вроде он закрыт)
Я ip записал.Просканил открыт 445 порт(Удаленное выполнение команд (ms04-007)
Прога еще как кулл.
Я таким образом выявил, что недоконфигурил дома фаерволл и как следствие получал постоянное зафлуживание порта(200 запросов за 5-10минут) откуда-то с Амстердама
Oooo а програмка еще на делфи написано кул =)
такой вопрос при добавлении порта в игнор, че прога делает ?
И кстати ты какой файрволл то используешь Соник ?
Я пользуюсь почти всем о чем пишу, так что “мой” фаерволл – это ZoneAlarm.
При добавлении порта в игнор программа просто перестает его мониторить и никак не реагирует на любые атаки этого порта и тд и тп.
Скажи что лучше ZoneAlarm или Comodo? и почему?
Ребят APS орёт что меня атакуют на 135 порт-при том что он у меня закрыт.Вирусов на компе нету(сканил Dr.Web;касперским 8)
Как можно делать атаку на порт который закрыт?
Может он всё таки не закрыт, раз атакуют?
Закрыты точняк….
У меня стоит Outpost.Просканил себя сканером XSpider 7.5 полная версия.Не один порт не открыт!!!
Я даже сам себя эксплоитом ломать пытался-эксплоит не пашет)))
Тогда не знаю
Для корректной работы APS в режиме контроля за работой файервола необходимо в настройках файервола запретить APS работать с сетью.Если же APS использовать в качестве сетевой ловушки,открытой для взлома-тогда разрешить.В последнем случае срабатывание APS сигнализирует о том,что кто-то заинтересовался Вашим ПК,в котором сработал APS.Если при этом в журнале Вашего файервола зафиксировано успешное блокирование атаки-тогда все в порядке;если нет-тогда это повод задуматься о надежности Вашего файервола или его недонастроености.
Жесть СиС.Админ и незнаешь=)) Ну ладно-сам узнаю))))))
1. Не могу же я знать всё
2. Удаленно сложно что-то сказать или сделать.
Слух Соник прости что не потеме.
Хочу с тобой пообщаться по icq.
Если можно то отпишись на мыло
Застучись через форму обратной связи, а там разберемся
Я сам просто могу забыть написать.
Прога прикольная,только вот одно не могу в толк взять как атаки отображать.Вроде все прочла,но это наверное пропустила,подскажите,плиззззз.А то у меня атака на атаке!
Атаки отражать будет фаерволл.
APS же работает в виде ловушки, т.е. когда он сигнализирует об атаке – значит, что он распознал её и передал вместо отклика атакуемого порта случайные данные или что-либо еще(в настройках это всё можно сконфигурировать), т.е. условно говоря защитил порт и дал Вам возможность закрыться по средством фаерволла от атаки с именно этого адреса.
спасибки!я поняла что с фаерволлом,просто не до конца их связь поняла м/д собой!
Добрый день(вечер/ночь…)! Много полезного почерпнул с вашего сайта и вовсю пользуюсь. Но вот после этой статьи у меня возникли некоторые сомнения: правильно ли построил защиту на своём компе, к-рый, кстати, сам по себе слабоват и, порой, притормаживать начинает от, вероятно, слишком многочисленных, хотя и полезных, программочек.
У меня установлены:
1. Avast
2. Comodo FireWall + AntiVirus 3.8.65951.477 (Softodrom усиленно рекомендовал)
3. Dr.Web Current
Comodo частенько задаёт вопросы на аглицком, что смущает, ибо надо переводить на русский, что отнимает у меня, сим языком не владеющим, много времени (учиться языку некогда, да и нелегко в 55 лет).
Может быть, следует удалить Comodo…+ Antivirus… и поставить APS, Вами предложенный? И следует ли убирать Avast?
Или оставить всё как есть? А если я “антишпиона” поставлю, то, верно, комп ещё больше будет тормозить?
Ещё у меня работают (также Вами предложенные) TuneUp, AdBlock (AVP), NoScript – всё работает отлично, за что огромное Вам спасибо!
APS – это ловушка, а не антивирус и уж тем более не фаерволл.
Как фаерволл я бы рекомедовал Zone Alarm, как антивирус Dr.web.
Comodo.. Не знаю, никогда не пользовался этой напасти и сказать ничего не могу.
Avast неплох, но что-то в нем не так, хотя серверная версия местами очень даже ничего.
Думайте, все вообщем-то зависит от Ваших предпочтений.
Классная статья СПАСИБО
Месяц назад купил и поставил Norton Antivirus.
Вроде, всё отлично. Надо ли ставить ещё файрволл? На всякий случай, так сказать?
Спасибо.
Надо.
Фаерволл и антивирус занимаются совершенно разными вещами, а посему наличие обоих в системе жизненно необходимо.
Соник, а тебя не смущает, что последняя версия программы на сайте производителя датирована 2004 годом? Прогресс-то идет.
Не смущает. Там нечему обновляться, база портов всегда актуальная, функционал тоже. Это не полноценный фаерволл, – это ловушка.
Добрый день! Неожиданно натолкнулась на вашу страничку – понравилось. Может вы сможете мне помочь…(я не специалист) На компе программа не видит динамиков. Утановлена windows 7, перепробовала драйверы: realtek, с сайта материнки (gigabyte GA-MA90GPT-UD3H), не видит и все(((
Какая программа? Каких динамиков?
подходит чел к компу и говорить вот колонки почему не видиш ))) а под столом стоиш не видно!!
какая программа не видит динамиков уверены что звук должен а его нет
Что скажете в отношении программы PRTG Network Monitor
Крайне сильная вещь.
Но, к сожалению, сложновата для рядового пользователя.
Соник мне какойто урод погрозил закрыть все мои порты но он даже х3 как мой комп выгледит я скачал вашу прогу установил мне каждый пять минут бьет ошибку то есть что мой порт атакован пишет осторожно ХАКЕР я нажимаю сброс состояния тревего и все успокаевается но потом опять начинет
и я долго за ПК не сижу а он же может меня день и ночь ломать и как мне быть как ету прогу поставить что бы при выключеном ПК она его атаки не воспринемала в серйоз !?
когда твой компутер выключен хоть ты как его атакуй защиту не сломаеш когда она не работает и твой комп тоже
Спасибо за статью !..
Пожалуйста
У меня APS часто сигнализирует о хакерной атаке.И в качестве атакующего хоста указывает на ПК-автор,т.е. на меня!!Как же он меня,т.е. своего хозяина принимает за врага?Может какая-то программа изнутри рвется в Интернет? Если это так,то как его вычислить?
Зависит от порта.
[quote comment="12194"]У меня APS часто сигнализирует о хакерной атаке.И в качестве атакующего хоста указывает на ПК-автор,т.е. на меня!!Как же он меня,т.е. своего хозяина принимает за врага?Может какая-то программа изнутри рвется в Интернет? Если это так,то как его вычислить?[/quote]
У меня при запуске Firefox тоже сигналит об атаке с моего внешнего IP,интересно…
Подскажите какой порт указывает
Реальный сайт, класс!!!
Рад, что понравилось
У меня все спокойно
Это радует
Спасибо за сайт! Потихоньку пытаюсь разобраться….
Поставил APS. В портах ТСР много цифр, в описаниях названия червей, вирусов, и в общем всяких непонятных слов, всё отмечено зелёным, типа прослушивается. А следующая графа – ведётся наблюдение. Дополнительных сведений , попыток, тревог не зафиксировано. Это так и должно быть? или что-то не вы порядке?
Приветствую.
Нет, всё в норме, так и должно быть.
ЗЫ: Всегда пожалуйста
Доброго времени суток!
Sonikelf – ты просто молодец!!!!!
Такой замечательный сайт с подробным описанием и подходящими для использования программ настройками.
Я хотел уточнить чуть подробнее по поводу программы APS. Я её скачал-распаковал-запустил, что теперь необходимо сделать, чтобы она работала полнофункционально?
Сорри-)) Всё нашел, настроил . Прочел вторую статью. Спасибейшее -спасибо-))
Очень интересный сайт, никакого блуда, только по существу, спасибо, очень много всего и все доступно. Прога пригодилась, правда в фаерволе немного сомневаюсь (ESS5)…, вопрос по APS, возможно ли блокировать атакующие ip?, частят, в основном китайцы, заранее благодарен.
Нельзя. APS – ловушка, а не фаерволл.
Но насколько я помню она блокирует на время атакующую машину автоматом.
Здравствйте!Случайно оказался на вашем сайте,очень понравился,получил очень много полезной и нужной информации,за что-БОЛЬШОЕ СПАСИБО этому человеку.Если позволите,небольшой вопрос,скачал APS.но программка не запускается,подскажите,спасибо
Заметил, что при работающей APS если запускаешь какую-то программу, то для нее нет свободного порта, APS автоматически не освобождает порт. Может что в настройках надо делать?
Здравствуйте . Подскажите пожалуйста я установил и настроил APS , при подключению к интернету он сигнализирует что атака с моего компьютера через 80 порт.Что сделать ?
Отключите мониторинг 80-го порта в программе
мой брат нашел какую то программку,которая может войти в любой комп и мобильник,и прослеживать что в данный момент происходит и происходило,при том ты сам не понимаешь зашел ли он или нет, с компом ничего не происходит, так вот подскажите пожалуйста подойдет ли эта защита для компа?? и нет ли еще какой нить защиты для мобильников??, а то не хотелось бы чтобы он просматривал личные вещи и т.д.(((
Не засоряйте всякой… всячиной свой комп
Большинство случайных вирусов и тп ловиться тем же авастом + адвизор.
А от “неслучайного” врядли что-то поможет- уж больно они ловко устроины.
Стерегите пароли и тп не храните все яйца в одной корзине.
прочел сообщение Sofiyi – это я и имею ввиду. Как не печально лучшие умы работают не в Sunmicro., а пишут вирусы и шпионы на заказ.
Здравствуйте. посдкакжите “чайнику”, что это значит:
порты TCP:
порт 22 SSH-сервер в графе доп.сведения – 183.61.135.240, попытка 1;
порт 80 HTTP-Web сервер доп.сведения – 10.236.59.1, попытка 1;
порт 1433 Microsoft SQL Server (MSSQL), доп.сведения – 125.78.188.74 74.188.78.125. broad.qz.fj.dynamic.163data.com.cn, попыток 2 (этот порт очень часто “пиликает”!!!);
порт 3389 MS Terminal Server доп.сведения – 87.24.19.156 host 156-19-static.24-87-b.business.telecomitalia.it, попыток – 1 (тоже часто);
порт 4899 Remote Admin доп.сведения – 189.105.141.92 189-105-141-92.user.veloxzone.com.br (часто); попыток – 1;
порт 8080 HTTP доп.сведения – 196.33.226.55 hsexmb01.corp.hstrauss.co.za попыток – 2;
порты UDS:
порт 53 DNS доп.сведения – 89.248.171.35 длина диаграммы 28, попыток 1.
В нижнем правом углу написано: порты: 238/TCP, 67/UDP Открыто 0 сокетов (иногда 2-4 сокетв открыто)………
И что делать???? Что такое файерволл?? где его взять, как,куда установить и как пользоваться???
Спасибо