статьи

Как установить, настроить и использовать APS

Доброго времени суток дорогие читатели. Наконец-то я сел продолжить статью про APS (которую многие так долго и упорно требовали по средством формы обратной связи ;) ) и готов представить её Вам.

программа APS - иконка статьи


Для тех кто еще не знает что за APS такое и с чем его едят настоятельно рекомендую ознакомиться с первой статьей под названием "Защита портов" ибо не ознакомившись с оной Вы рискуете не понять о чем пойдет речь т.к. в данном материале предполагается, что Вы уже установили программу, представляете зачем она нужна, имеете фаервол и готовы заняться непосредственной её настройкой, а так же вниканием в суть и принципы работы.

Собственно, поехали.

Настройка "ловушки" APS для защиты компьютера

В первую очередь программу надо настроить. Жмем "Сервис" - "Настройка" и, собственно, приступаем.

Переходим в "Общие" - "Интерфейс". Устанавливаем там всё по Вашему вкусу или в соответствии со скриншотом ниже (увеличение по клику).

APS - настройки интерфейса - скриншот 1

Идем дальше.

Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сети\email или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек "Оповещение". Тоже самое касается отчетов в разделе настроек "Отчеты" и протоколирования в разделе - кто бы мог подумать :) - "Протоколирование".

Теперь переходим к настройкам имитации сервисов, но перед этим небольшой вагончик полезной теории, касающейся принципов работы.

к содержанию ↑

Теория и принципы работы фаерволла + ловушки

В главном окне программы есть такая вот табличка:

APS - система обнаружения сканирования - скриншот 2


Что это за табличка?  Это список портов и названия вредоносного (не везде, но в большинстве своём) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит есть ли конкретная гадость использующая конкретный порт или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт FTP-сервера) каким-нибудь гадким хакером Пупкиным.

к содержанию ↑

Общие принципы работы APS

Проще говоря, принцип работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта - краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует.

При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер - некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.

к содержанию ↑

Имитация сервисов в целях защиты

Группа параметров "Имитация сервисов" содержит настройки - чего бы Вы думали? :) , правильно, -  системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть) и в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним.

При включении системы имитации APS может передавать атакующему описанные в базе портов блоки данных, которые содержат типовые отклики имитируемых сервисов (т.е., скажем, кто-то пытается пробиться на FTP-сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля "я вот FTP-сервер, да, я тут, я работаю, на те Вам отклик", а в этот момент реальный FTP радуется своей жизни).

Кроме того, можно включить и настроить режим передачи случайных данных - наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. Кроме того, в настройках имитации сервисов TCP можно настроить режим удержания соединения - по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности.

Если Вы хотите знать больше, желаете научиться этому профессионально и понимать происходящее, то запишитесь к нам на обучение.

Таким образом у Вас появляется тележка времени дабы сконфигурировать системы безопасности (в пользовательском случае - это фаервол) так, чтобы никто с атакующего адреса к Вам не пробрался.

к содержанию ↑

Чуть больше подробностей и метафора

Фактически APS является ловушкой и средством конфигурирования и тестирования систем безопасности. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и тд и тп. Но! Не путайте APS с фаерволом. Таки APS - это средство контроля за безопасностью, а не сама безопасность (кстати можете взглянуть на Сертифицированные ФСТЭК России средства защиты).

Чтобы было понятнее? - есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое что о принципах его работы, о безопасности, о типах угрозы и тд и тп) может отваживать левых личностей подальше от магазина и говорить охраннику, что мол этого дядьку не пускать - он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз - стреляй на поражение.

Однако, если убрать охранника и оставить дядю Васю одного результаты будут плачевными ибо дядя Вася не имеет соответствующей квалификации, а точнее имеет другую специальность, а еще точнее попросту не для того предназначен.

Подробнее о том зачем нужен APS читаем в прошлой статье.

Ладно, с теорией и принципами работы, будем считать, разобрались.

к содержанию ↑

Дополнительные настройки APS

Возвращаюсь к настройкам имитации сервисов. Дабы не заниматься набором лишних букв просто выставляйте все так как указано на скриншотах (увеличение по клику).

Сервисы TCP:

настройки сервисов APS для TCP

Сервисы UDP:

настройки сервисов APS для UDP


С настройками будем считать покончено. Переходим к последнему этапу.

к содержанию ↑

Что делать при тревоге и обнаружении взлома

Спокойствие, только спокойствие (с).

Как Вы наверное поняли речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусом\червем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из оного (если Вы включили сие в настройках).

И так, что, собственно, делать.

Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин - это просто мелочи жизни, причем легко устранимые.

Во-вторых.. Во-вторых, всё просто:

  • Смотрим что происходит, т.е. определяем кто творит злодеяния: вирус\троян\червь или хакер пупкин лезет к нам из вне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и тд и тп.
  • Далее по обстоятельствам. Если это хакер\кто-то\что-то еще ломиться из вне, то смотрим лог (т.е. то куда он, собственно, записывает все данные об атаках и тд и тп) фаервола и выясняем заблокировал ли он атаку. Если нет, то берем адрес с которого ломятся (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список. Если да, то все равно поступаем аналогичным образом (на всякий пожарный :) ).
  • Как вариант, можно просто закрыть порт по средством все того же фаервола. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаервола, т.е. описать настройки (куда тыкать) я не могу чисто физически. Если что - спрашивайте, что вспомню - подскажу.
    Если это кто-то от нас, т.е. где-то на компьютере уже есть троян\вирус\червь и он использует порт для своих злодеяний, то с помощью фаервола закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, spyware и тд и тп, находим заразу и устраняем её.
  • Универсальное решение - это отключить интернет и потом устранять проблему в тишине и покое.

Всё. Думали сложно? Ничего подобного.

Еще раз повторюсь, что наличие нормального фаервола обязательно. О том, что такое фаервол и зачем он нужен я писал в статье "Защищаемся от хакеров, червей и прочей шушеры".

к содержанию ↑

Послесловие

Вот такие пироги.


Это не последняя статья в цикле по защите и безопасности в сетях и интернете. Есть еще много мыслей о статьях на эту тему как совсем простого уровня, так и посложнее.

Если есть вопросы, если что-то не получается или хотите дополнить - пишите или оставляйте комментарии.

  • Oza

    Андрей APS можно использовать как Honeypot ?

  • Саша Аполлон

    Можно сделать еще так, для защиты портов:
    Сетевые подключения - Подключения по локальной (или у кого как) сети. Жмем правой кнопкой мыши Свойства - выделяемПротокол Интернета (ТСР/IP) - Свойства - Дополнительно -Параметры - выделяемФильтрация ТСР/IР - Свойства - Задействовать фильтрацию/strong> (галачку ставим). Перезагрузка.На скорость инета не влияет.

    • Sonik

      На скорость инета не влияет.

      На защиту портов тоже :)

  • eva

    скажите, пожалуйста, как добавить адрес в черный список?

    • Sonikelf

      Смотря какой фаерволл у Вас установлен.

      • eva

        ой, да, забыла добавить. у меня Zone Alarm.

  • НайТ

    через фаервол можно

    • eva

      я как раз про фаерволл, а есть еще какие-то способы?

  • Issmail

    Кто-нибудь подскажите пожалуйста:
    -Работает ли APS c ADSL (например DLink 2500U на скорости 256)
    т.е. в паре со скоростным (широкополосным) модемом?
    -Тут уже сказали:APS не обновляется уже с 2004 года. Справляется ли он реально со своей задачей сегодня?
    -есть ли другие аналогичные программы,такие же простые и компактные, на уровне,отвечающий сегоднящним требованиям,или на APS свет клином сошелся?
    Знающие,просветите пожалуйста.Я думаю,эти вопросы интересуют многих.Заранее спасибо.

    • Sonikelf

      1. Работает.
      2. Да, т.к. это ловушка и утилита для контроля, а не полноценный фаерволл. Обновления там вообщем-то не нужны.
      3. Ммм, теоретически нету. Практически надо искать, - может и есть.

  • Nonexistence

    Доброго времени суток! Скажите пожалуйста как к сообщению прикрепить скриншот? Есть вопрос и скриншот, но не вижу опции вставки изображения. Спасибо!

  • Nonexistence

    Разобрался

  • ChemicalBrother

    Совместима ли эта утилита с Vista? У меня почему то она не хотела добавляться в автозапуск, помог запуск от имени встроенного админа, хотя моя учетка тоже админовская, но каждый раз при запуске мне приходится выставлять настройки имитации сервисов заново. Можно ли что ни будь с этим сделать? Не всегда вспоминаешь про то что надо выставить настройки.

    • Sonikelf

      Мм, сложно сказать, но по идее, да, должна быть совместима. Честно, не знаю, что подсказать, т.к. вистой не пользуюсь.

  • ChemicalBrother

    Утилита почему то выдает ложную тревогу, как будто происходит атака на порт 6112, фаервол ни чего не зафиксировал, я добавил его в список блокируемых, утилита все равно продолжает показывать неимоверное количество атак, протестировал компьютер на открытые порты на сайте 2ip.ru, все в порядке, ни одного открытого порта =( Объясните мне не умному, в чем подвох?

  • nickName)

    Здравствуйте)
    Вобщем у меня забавная ситуация приключилась..после иммунизации с помощью Spybot S&D..стоит файерволл COMODO..и вышеупомянутая утилита АРС..при входе Вконтакт и на Letitbit арс начинает сигналить всеми способами))говорит атака на 80 tcp порт http от localhost 127.(дальше не помню))
    подозревал долго и остановился на спайботе,сделал откат изменений в иммунизации и атаки прекратились))
    Собственно вопрос)):спайбот что с localhost такое делает??))спасибо за ответ)

    • Sonikelf

      Ммм, довольно странно. Вообще spybot при иммунизации заполняет hosts записями о вредоносных сайтах, перенаправляя их на 127.0.0.1 тобишь на localhost и таким образом оные не могут навредить Вам. А вот почему aps реагирует на оное не знаю, т.к. не сталкивался. Пойду потестирую.

  • nickName)

    Обязательно напишите что получится))очень интересно)

  • Narden

    Здравствуйте. У мены такая проблема: в APS не сохраняются настройки ИМИТАЦИЯ СЕРВИСОВ. Меняю как на скриншоте, вроде всё норм, стоит перезапустить комп либо APS и настройки в первоначальном состоянии, однако остальные настройки (кроме ИМИТАЦИЯ СЕРВИСОВ) стоят так, как я их поставил. Подскажите, в чём проблема? Несовместимость? (Windows 7)

  • Sonikelf

    Подскажите, в чём проблема? Несовместимость? (Windows 7)

    Сложно сказать наверняка, но похоже, что да.

  • Sergey

    Narden,откройте утилиту с правами администратора и только после этого делайте настройки. Теперь после перезагрузки настройки не изменятся.

  • INDIANA

    Спасибо за настройки программы.Что-то не настраиваются горячие клавиши для сброса тревоги, мелочь, но хотелось бы чтобы работало.

  • b

    В портах ТСР куча каких-то названий содержащих слово Trojan что за такое
    А атака хакера была на Remote Admin - это что?
    Благодарю

  • Физик-ядерщик

    Здраствуйте, скачал APS, не помню где именно, в папке программы есть такой файл -aps_test.bat- , при кликании на него выскакивает диалоговое окно ms-dos в котором я не успеваю прочитать, что там тестируеться и раздаёться сигнал тревоги, после которого в таблице программы красным появляеться отметка атакованного порта, в моём случае это порт 110. Вопрос: Это просто демонстрация работы программы или реальная угроза?

    • Sonikelf

      Есть подозрение, что это демонстрация.

  • Физик - ядерщик

    Спасибо...

  • Intel Q6600

    А вот у меня такой вопрос. У меня сейчас Windows Server 2008 R2 x64. Запустил я под ним этот aps, в окошечке видно, что он ведёт наблюдение за портами, уже два дня я нахожусь в интернете под этой системой, но aps не обнаружил ни одной атаки(не предупреждал о ней), однако в свойствах стоит галочка для выделения атакуемых портов и звуковой сигнал при атаке. Неужели у меня такой хороший фаервол. У меня подозрения на то, что программа некорректно работает под Windows Server 2008 R2 x64.

    • Sonikelf

      Возможно, что некорректно.
      Возможно, что фаерволл умница.
      Нада смотреть, думать, анализировать.

  • Intel Q6600

    Ну буду надеется что фаерволл умница. Фаерволл от AVG x64 - думается хороший. Да ещё рядышком роутер д-линк дир-100.
    А вообще это хороший сайтик, много интересного узнал. Теперь когда мои знакомые о чём-то спрашивают меня насчёт компьютера и ОС, я даю им ссылку на этот полезный сайт.

    • Sonikelf

      На д-линке фаерволл поднят же тоже вроде? :-)

  • Intel Q6600

    Ну да. Там я его тоже настраивал, для utorrent порт пробрасывал. У маршрутизаторов d-link, есть одно преимущество над asus, правда это преимущество нужно для чайников. Для тех кому лень/или не умеет менять логин и пароль с default на свой.

  • ixaa

    Подскажите пож,как можно узнать,кто это рвется из моего компютера в интернет?
    APS показывает,что это ПК-автор, т.е. это я сам.
    А сегодня я не смог подключиться к интернету,пока не отключил APS.
    Заранее спасибо за подсказку.

    • Sonikelf

      Мм, возможно, что заблуждается маленько APS, а возможно, что у Вас какой-нибудь червь. Посканируйтесь хорошенько на вирусы.

  • Дмитрий

    Здравствуйте. На сайте разработчика последняя версия утилиты датирована октябрём 2004 года. Не устарела ли она? Или для подобных программ понятие устаревания неприменимо?

    • Sonikelf

      Не устарела. Там попросту почти нечему устаревать.

  • VVP-63

    такой вопрос при открытии лисицы апс кричит об атаке на 80 порт с моего же внешнего адреса !(адрес присваивается провайдером динамически) ... как рассказать апсу что это нормальный адрес ))

    • Sonikelf

      Теоретически можно отключить просто мониторинг 80-го порта.

  • ixaa

    Sonikelf,что скажете по поводу Tiny Honeypot 0.4.6 (из https://www.securitylab.ru/software/1259/).
    Что лучше применять--Tiny Honeypot или APS? Или нет смысла сравнить?

    • Sonikelf

      С Tiny Honeypot не сталкивался, но судя по описалову, - это тоже самое, что и APS.
      Смысла сравнивать в общем-то нету.

  • Alёxa

    Подскажите плиз . У меня ZoneAlarn бесплатный и вставлять логи туда нельзя (как я понял ) . ASP постоянно сигнализирует об атаках , если файервол разрешил ему работать с сетью .Если запретить то ASP молчит (не считая localhost на 80 порте который я отключил ) Настройки все те ,что указаны в статье . Это нормально и работает ли мой ASP (помагает фаерволу)???

    • Sonikelf

      и вставлять логи туда нельзя (как я понял )

      Не понял этого высказывания. Логи ведутся фаерволлом, их не надо никуда вставлять.
      Имелась ввиду блокировка адреса с которого идет атака?

  • Alёxa

    Имелась ввиду блокировка адреса с которого идет атака?

    Да .Тот адрес , что "ломится" из Asp скопировать и внести в firewall /на бесплатном Zone Alarm такой функции нет .Можно просто наблюдать какие адреса и куда ведут .Или добавлять в доверенные.
    Главное что я хочу понять - это то ,что я запретил ловушке работать с сетью как на вход так и на выход , в доверенной и интернет зоне (при Ваших настройках )Будет польза от ASP или все же лучше , в ручную вносить адреса в лог фаера ?

  • Максим

    1. APS открывает кучу портов и слушает. Разумно ли это? Ведь без него открыто всего несколько портов.
    2. Если все же запускать его, то может в настройках выставить разрыв соединения сразу же и запрет на передачу данных, чтобы у сканирующего все это выглядело как закрытый порт? Или я ошибаюсь?
    Ну и 3. Если в правилах фаервола запретить APS работу с сетью, то он будет обнаруживать атаки, которые фаер все-таки пропустил, тем самым дополнительно защищая?

    • Sonikelf

      1. Да
      2. Как вариант, можно так. А можно передавать случайные данные.
      3. Тестировал, но не помню.

  • Вера

    Здравствуйте Андрей!Установила программу APS, почти сразу же появился восклицательный знак, высветился адрес хакера, а вот как этот адрес вставить в файервол? У меня FireFox. Куда этот адрес внести, как скопировать в программе APS? Простите пожалуйста за невежество, но я пока на уровне "чайника"в защите компьютера...(

    • Sonikelf

      FireFox - это не фаерволл, FireFox - это браузер. Вам нужен фаерволл.

  • Вера

    Благодарю!Поняла.Буду устанавливать фаервол.

  • Дмитрий

    День добрый Андрей! У меня стоит Outpost Security Suite Pro 7.5 (как я понимаю фаерволл уже имеется) для проверки работы фаерволла установил программу APS, и решил проверить на сайте 2ip.ru. Тест показал что открыто 20!!!!! портов там же нашел как закрыть эти дыры. Новый тест показал что все ok. Когда я выключил APS и в фаерволле убирал все настройки связанные с 20 портами, снова прошел тест то все ok. Как я понял данная прога открывает дополнительные порты которые как раз и фаерволл не защищает. В общем вопрос вот в чем- смысл ставить данную прогу если без нее открыто меньше портов с защитой которых фаерволл справляется на 100% (по результатам 2ip.ru) или я что то не понимаю?

    • Макс

      У меня тоже были похожие сомнения. Проверился сейчас и с APS, и без ( :) ). В обоих случаях система защищена, но заметил что с отключенным APS фаервол показывает кучу слушающих портов (1-60000, не по порядку). С включенным - ту же кучу, под названием Windows Operating System, кстати, плюс те же самые порты, прослушиваемые APS! Странно как-то получается, но рад что система хотя бы защищена. В общем - я тоже что-то не понимаю! :)

    • Sumrakan

      У меня та же фигня, захожу на 2ip.ru пишет порты закрыты все, а когда сканируешь специальной программой так она нашла 195 открытых портов. Закрываю Aps. и прога нашла всего один открытый порт. Смысл этой программы под названием Aps? это хорошо что я твой коммент увидел а то так и не узнал бы что к чему

      • Валера

        Соник, ты ответишь когда нибудь?) а то смысл твоего поста теряется и как все подозрительные личности, уже начинаем думать а не написал ли ты о том о чем сам не шаришь и в итоге подверг нашу безопасность?

        • Sonikelf

          Если есть сомнения, то Вы легко можете не пользоваться моими статьями, благо это не так сложно. А то, что не отвечаю быстро и тп, извините, у меня за тысячу статей уже перевалило, обучалка, комменты, несколько почт, скайпы, социалки и тп и всем надо ответить прямо сейчас и сегодня. Не считая личную жизнь, работу и прочую. так что про игноры будете говорить в другом месте. А что удалять или нет, я как-нибудь разберусь, а ASP можете удалять сколько угодно, не я его писал.

      • Sonikelf

        Ответил ниже по комментам. APS не является чистым фаерволлом, а ловушкой-эмулятором.

  • psyhiatr

    Глубокоуважаемый Андрей, у меня такая проблема: при использовании программы APS постоянно идут атаки на порт 80 и 443, при том, что брандмауэр Outpost 7.5 эти порты не видит, соответственно атаки не блокирует, подскажите, что делать?

    • Sonikelf

      Отключите в APS мониторинг 80-го и 443 порта.

      • Sumrakan

        а где отключать в aps мониторинг?

  • psyhiatr

    При попытке запустить мозилу выдает aps 127.0.0.1 validation.sls.microsoft.com 80 блокирую IP, мозила не запускается, а число атак доходит до 12. Подскажите как быть?

    • Sonikelf

      Отключите в APS мониторинг 80-го порта.

  • ixaa

    овенил свои порты на 2IP.ru.Сообщение:открыты порты 80,135,443,445.
    У меня Avast IS 5.0.677. Он имеет встроенный Firewall. Не понимаю,почему этого недостаточно для затыкания портов?

    • Sonikelf

      Встроенные в антивирусы фаерволлы, как правило, редкостно бестолковы. Используйте отдельную программу.

      • Sumrakan

        У каспера и нортона фаерволы вообще отличные, у есета мне кажется фаервол средний, но там своми плюшки у него. У доктор веба фаервол тоже не плохой

  • psyhiatr

    Спасибо, Андрей, отключил мониторинг онных портов, все работает нормально, проверил онлайн - открытых портов нет, aps справляется на 5+; Признаться, Вы рекомендовали в качестве брандмауэра outpost, к сожалению он себя не оправдал - сильно тормозил систему (но видимо это индивидуально) сейчас стоит comodo - пока его работой доволен. Еще раз спасибо Вам за дельные советы и рекомендации.

    • Sumrakan

      где ты мониторинг портов отключал?

  • Niko

    Доброго дня.

    На днях стал пользоваться утилитой APS. Заметил, что порт 135 (MS net) постоянно чем-то занят. Подскажите, нормален ли статус данного порта "Порт занят другой программой"? Что это означает, как узнать что за программа его постоянно занимает?

    Заранее благодарю.

    • Sonikelf

      Приветствую.
      Хорошо бы узнать какой программой она занимается.
      Попробуйте глянуть так - https://sonikelf.ru/kakie-processy-smotryat-v-internet-ili-tcpview-kak-element-setevoj-bezopasnosti/

  • Walvater

    Спасибо за статью. Раньше ставил прогу, ничего не понял и снес. ) Сейчас все понятно.

  • Седой

    Скажите пожалуйста, что означает, если в статусе порта "Наблюдение отключено"?

    • Sonikelf

      Значит, что порт не мониторится программой

      • Седой

        Спасибо!

  • Дмитрий

    Привет Андрей! Повторяю вопрос-
    Дмитрий
    2011-05-14 22:59:53
    День добрый Андрей! У меня стоит Outpost Security Suite Pro 7.5 (как я понимаю фаерволл уже имеется) для проверки работы фаерволла установил программу APS, и решил проверить на сайте 2ip.ru. Тест показал что открыто 20!!!!! портов там же нашел как закрыть эти дыры. Новый тест показал что все ok. Когда я выключил APS и в фаерволле убирал все настройки связанные с 20 портами, снова прошел тест то все ok. Как я понял данная прога открывает дополнительные порты которые как раз и фаерволл не защищает. В общем вопрос вот в чем- смысл ставить данную прогу если без нее открыто меньше портов с защитой которых фаерволл справляется на 100% (по результатам 2ip.ru) или я что то не понимаю?
    Макс
    2011-05-21 20:13:27
    У меня тоже были похожие сомнения. Проверился сейчас и с APS, и без ( :) ). В обоих случаях система защищена, но заметил что с отключенным APS фаервол показывает кучу слушающих портов (1-60000, не по порядку). С включенным – ту же кучу, под названием Windows Operating System, кстати, плюс те же самые порты, прослушиваемые APS! Странно как-то получается, но рад что система хотя бы защищена. В общем – я тоже что-то не понимаю! :)
    Прошу не игнорировать!

  • Н.Л

    Здравствуйте, Sonikelf! Большое спасибо за данную статью и вообще за сайт в целом. У меня есть один вопрос. Дело в том, что ко мне каждый день кто-то ломится. И главное не по одному разу, а по 20-30 раз(!) Чем я могу их (хакеров) привлекать?

  • Brabus

    Как вариант можно просто закрыть порт по средством все того же фаерволла/
    Подскажи: у меня фаерволл Zone Alarm, как в нем закрыть порт???

    • Артём

      Посмотрите здесь, версия PRO, но думаю по аналогии разберётесь https://2ip.ru/article/rulezonealarm/

  • ромарио

    Здравствуйте. Подскажите , пожалуйста. Почему сбрасываются все настройки связанные с этой программой после её выключения? Постоянно придется настраивать по Вашей схеме? :-(

  • Руслан

    Здравствуйте . Подскажите пожалуйста я установил и настроил APS , при подключению к интернету он сигнализирует что атака с моего компьютера через 80 порт. Как сделать чтоб не атаковал сам себя ?

    • Sonikelf

      Это типовой отклик, скорее всего есть смысл просто проигнорировать, если конечно Вы уверены в том, что компьютер чист от посторонних вредоносных программ.

  • Alena

    Здравствуйте ув. Андрей. У меня фаервол Comodo Firewall. Подскажите пожалуйста как в нем блокировать адрес вредоносного IP? И как закрыть порт?

    • Артём

      По закрытию портов в COMODO, опять же, смотря какая версия, тут https://2ip.ru/article/rulecomodo/

  • LioTims

    Андрей, приветствую и благодарю за статью. Давно вы тут не отписывались но всё же спрошу. У меня беда другая. При запуске программа не открывается. В процессах она появляется, это точно. Но открыть её никак не могу. В трее её нет. Что это может быть? У меня 7ка ФВ- ЗонАларм, Антивирь - Авира. Но им та вроде всё открыл.. Хотя.. кто знает.. Но процесс то открывается. Заранее благодарю.
    Руслан а Вам наверное надо просто отключить мониторинг этого порта в APS

    • LioTims

      Всё, разобрался сам :)

      • Ha

        > Lio Tims
        Вы, конечно, молодец. Но было бы неплохо, если бы еще и написали, что вы сделали,чтобы заработало :)

  • Lio Tims

    Ha, я уж и не помню, что я там сделал. По моему я всячески почистил компьютер и заново после перезагрузки его поставил, включил. Не уверен, но кажется более ничего не делал :) Вот, столкнулся с проблемой тут что и многие другие. Пишет атаку на 80ый порт. В доп сведениях пишет имя моего компьютера, а в описании "HTTP-Web сервер". Я так понимаю что это ложная тревога и надо мне тоже прослушку порта убирать.

  • Lio Tims

    Андрей, подскажите пожалуйста. Порт 6969. Описание гласит что по нему рвётся троян GateCrusher. У меня Zone alarm стоит (он уже совсем другой по интерфейсу, в сравнении с тем что вы тут описывали, смотрел). Посмотрел что он там блокировал по логам, так вот в то же время что и атака была, он заблочил чего то там, но там указано было что блокировка по UDP протоколу, а APS у меня запищал в TCP протоколах, в UDP - тишина. Так вот я не могу там найти где порты блокировать. Только блокировку по айпи адресу вижу где создавать. Если можете, дайте совет..

  • saygon

    7 лет захожу на этот сайт.Полезный,доходчивый.Толковый сайт.7 лет не знал головной боли-)Благодаря сайту и самому себе(самому умному из чайников)Ловил изредка трояны,раз в 2 года,ну и мелочёвку всякую раз в год.Я так сладко спал все эти года..и тут поставил АРS.Третьи сутки меня "бомбят" вредители и враги.Они хуже моей тёщи.Всё познаётся в сравнении,я теперь люблю тёщу.Спасибо Вам Андрей за возрождение этого доброго чувства в отдельном индивидууме-)Я дальнобойщик,я даже в рейс не пошел,сижу у монитора и отслеживаю атаки,монтировку приготовил.-)Конечно понимаю что и раньше"бомбили" хитрованы всякие,но как было спокойно этого не знать.Атакующий хост: 81.89.48.239 81.89.48.239.vnet.sk Атакующий хост: 95.240.153.253 host253-153-static.240-95-b.business.telecomitalia.it Атакующий хост: 203.131.229.112 UBUNTU10-64 Атакующий хост: 216.240.136.95 unassigned.calpop.com Это капля в море, что с ними делать?Просто стало любопытно.Вред взаимно возможно причинить?Очень хочется... Спасибо за сайт,очень полезный.

    • Sonikelf

      Благодарю, извините за долгий ответ.
      Судя по написанному, атакует пораженный компьютер или паразитный трафик. Если стоит еще и фаерволл, то поводов для паники нет.

  • Mayya

    Добрый день, Андрей!
    БлагоДарю зато, что Делитесь Весьма Сильной и Бесплатной Утилитой, как это!!!
    БлагоДарю за Отличное и краткое руководство по Настройке этой Утилиты!!!

    Единственное но!?
    Антивирусник: spyware с какого сайта лучше скачать, что ниже я даю!?
    1. Ссылка: https://www.superantispyware.com/index.html
    2. Ссылка: https://www.pcrx.com/ru/
    БлагоДарю за ответ!

    Андрей!
    Пусть этот день пройдёт для Вас в Радости, в Творчестве и в Приятной Атмосфере!!!
    Пусть на Вашем Пути Встречаются БлагоДарные, ЖизнеРадостные Люди!!!

    С Истинными Мыслями и Пожеланием к Вам!!
    Майя – radost2534… … …

    • Sonikelf

      В принципе любой, я бы рекомендовал всё таки что-то из того, о чем есть статьи, вроде Spybot'а и тому подобного.
      Спасибо за сказанное.

  • A---W

    Я проверил защиту портов фаерволла при установленной програмке апс,так столько красных квадратов(открытых не защищенных портов) показало при проверке,что я перестал ее юзать(это программка столько их по на открывала.).Хотя она показала скорей всего(я не считал кол-во)прально кол-во атакованных портов и сайт откуда велось сканирование,но почему они не защищены,вот что меня насторожило(хотя в настройках я выставил разрывать соединение),вдруг они находятся открыты так постоянно в инете,(тогда защита фаера оказывается не эффиктивной)и без сканирования.

    • Sonikelf

      APS по факту не является фаерволлом - это ловушка. Она эмулирует открытые порты, эмулирует отклик, но делает это случайными данными и тп. И служит, по факту, проверкой как раз фаерволла, а не чистым защитником в прямом смысле слова.

  • Sumrakan

    Хорошая программа, я себе скачал поставил, надеюсь она загрузку ОС не сильно тормозит. А то обычно программы в автозагрузке увеличивают время загрузки ОС. Я если честно не люблю разные продукты, например антивирус другой фирмы а фаервол еще какой-то другой. Поэтому предпочитаю секьюрити, комплексную защиту так сказать. Разные продукты актуально если у антивируса нет фаервола или пользуютесь бесплатными, например аваст + комодо. Автор у меня такой вопрос к вам а у есет смарт секьюрити норм фаервол? А то у меня стоит уже давно этот антивирь проблем не было. сегодня правда блокировал адрес какой-то при запуске браузера, почистил куки и историю проблема осталась. Взял отключил плагин визуальные закладки, смотрю при запуске без этого плагина, есет не блокирует адрес, сразу понял что дело в плагине. Скачал Malwarebytes Anti-Malware Free, вешает 20 мб, обновил базы. просканировал компьютер и проблема решилась.

    • Sonikelf

      Благодарю за отзыв. Да, как ловушка, APS достаточно легок и позволяет заниматься мониторингом и прочим.

  • эдуард

    получено такое сообщение: Атакующий хост: 192.168.1.1 my.router
    дата/время начала сканирования: 13.02.2015 10:35:54
    дата/время последнего сканирования: 13.02.2015 10:35:54
    кол-во сканирований: 1
    кол-во подозрений на DoS: 0
    Атаковано портов 1
    515/TCP кол-во атак = 1, подозрений DoS = 0
    Экспресс-оценка:
    Сканирование портов : не обнаружено
    Flood портов : не обнаружен
    DoS атаки : не обнаружены Что нужно делать?

    • Sonikelf

      Ничего, всё в норме.

      • Эдуард

        В самой программе какие меры нужно предпринять если красным цветом выделена какая либо строка порта и звучит сигнал тревоги?

        • Sonikelf

          В самой программе в общем-то никаких. Действия стоит предпренимать в фаерволле.

  • Андрей

    Бредовая прога, закрыл порты WWDC и LanSafety, комп в сети не виден, а при APS как на ладоне, т.е. хочешь развлекаться - никто тебя не видит, это твоё, гостей долго ждать не придётся. Эта прога для охотников [APS как ловушка], а народ ведётся.

  • Pashka

    https://zismo.biz/topic/544011-?-akspay-—-ezhednevnaia-razdacha-akkauntov-vkontakte-?/page-13

    Уважаемый Андрей, у меня (и, судя по всему, не только у меня) с этой прогой творится какая-то ерунда, я вообще ничего не могу понять

    1.Сразу же после первого запуска начала визжать каждую минуту, показывает реальные зарубежные адреса атакующих (правда, во всех случаях "сканирование портов: не обнаружено flood портов: не обнаружено")
    НО! Речь идёт о рядовом домашнем компьютере, подключённом, ессно, через NAT - ну не будет же пров каждому клиенту выделять свой ip-шник! Возникает закономерный вопрос каким образом вся эта гадость вообще может пробиваться ко мне извне?

    2.В моём брандмауэре отключены все правила для входящих соединений, иными словами, они запрещены в принципе. Необходимости более тонкой настройки на данный момент нет. Имеет ли смысл добавлять в исключения APS, которая после этого тут же начинает подавать сигналы?

    • Андрей

      1. Про сто это говорит о том, что творится в сети. И если будут открыты порты (в Windows по умолчанию) и гости не званные точно будут, для этого и нужен фаервол - не закрыл но под контролем держишь. APS из любопытства или неверия, что в сети творится запустил и ужаснулся иль умилился.
      2. Брандмауэр служебные программы Windows неблокирует они свои родные. Запусти WWDC и увидишь. Если собираешся вычеслять кто, что, где, откуда то добавь APS в исключения, у него своя защита как понятно есть.

  • XuTpbluXaH

    Гыы просканировал на разрекламированном здесь 2ip.ru порты при включенном APS с ловушкми, бедняга первый раз вообще захлебнулся, ошибку выдал )) на второй раз сказал, что мне конец - открыто более 20ти портов, надо срочно перекрывать (а все это время я наблюдал в APS как ко мне ломится некий тип с "188.40.35.183 2ip.ru" по 10ку портов, забавно было). После отключил APS, просканировал там же, и мне сообщили, что ZoneAlarm молодец и все перекрыто, вот так вот )) Так что не смотря на кучу атак в день, до 30ки и более, я спокоен. Хотя жизнь она такая, рано или поздно что-нибудь из нового пролезет. Сонику огромное спасибо за статьи!

  • MistreSS

    Здравствуйте. У меня частенько бывает, что срабатывает сигнал тревоги и в отчете об атаке указывается ip localhost 127.0.0.1 и имя моего компьютера. Почему это происходил и что это значит?

    • Sonikelf

      Приветствую. Это, в общем-то нормально

  • Виктория

    Сервер Telnet постоянно атакует!!
    Атакующий хост: 14.171.72.241 static.vnpt.vn
    дата/время начала сканирования: 03.08.2016 11:06:49
    дата/время последнего сканирования: 03.08.2016 11:06:49
    кол-во сканирований: 1
    кол-во подозрений на DoS: 0
    Атаковано портов 1
    23/TCP кол-во атак = 1, подозрений DoS = 0
    Экспресс-оценка:
    Сканирование портов : не обнаружено
    Flood портов : не обнаружен
    DoS атаки : не обнаружены
    Что нужно делать после этого? Что такое фаерволл и где его найти? Как заблокировать атаку?

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам