статьи

Как защитить порты и компьютер от взлома — Anti Port Scanner

Как защититься от хакеров, червей и прочей шушеры я уже однажды писал в одноименной статье - "Защищаемся от хакеров, червей и прочей шушеры" :)

Однако, далеко не всегда есть возможность разблокировать свой компьютер или держать под рукой толстый фаерволл под рукой (хотя это необходимо всегда, независимо от ваших желаний\возможностей), а отслеживать атаки и избегать их зачастую очень хочется, ибо даже простейшие, "автономные" типы этих атак зачастую снижают скорость Вашего прибывания в интернете.

Вот в этом самом обнаружении поможет небольшая утилита от создателей AVZ под названием..

Защита от взлома с помощью ловушки APS

Основным назначением данной программы является обнаружение хакерских атак. Как известно, первой фазой большинства хакерских атак является, так сказать, инвентаризация сети и сканирование портов на обнаруженных хостах. Сканирование портов помогает произвести определение типа операционной системы и обнаружить потенциально уязвимые сервисы (например, почту или WEB-сервер). После сканирования портов многие сканеры производят определение типа сервиса путем передачи тестовых запросов и анализа ответа сервера. Утилита APS проводит обмен с атакующим и позволяет однозначно идентифицировать факт атаки.

Что удобно - это компактность. Архив с утилитой занимает какие-то несчастные 500 кб, не требует установки, а сама программа предельно минималистична и проста в управлении, несмотря на сильный функционал.

Вот, собственно, список того для чего она предназначена:

  • Для обнаружения разного рода атак (в первую очередь сканирования портов и идентификации сервисов) и появления в сети троянских программ, сетевых червей и прочего мусора.
  • Для тестирования сканеров портов и сетевой безопасности.
  • Для тестирования и оперативного контроля за работой Firewall (запускаем APS на компьютере с FireWall'ом и, если программа будет выдавать "тревогу" и находить атаки, то Вы сможете понять, что у Вас недостаточно мощный\неправильно настроенный фаерволл и соответственно донастроить или, с чем топор не шутит, сменить его)
  • Для блокирования (и обнаружения) работы сетевых червей и Backdoor модулей. Принцип обнаружения и блокирования основан на том, что один и тот-же порт может быть открыт на прослушивание только один раз. Следовательно, открытие портов, используемых троянскими и Backdoor программами до их запуска помешает их работе, а после запуска - приведет к обнаружению факта использования порта другой программой
  • Для тестирования антитроянских и антивирусных программ, систем IDS и пр. Дело в том, что в базе APS заложено более сотни портов наиболее распространенных троянских программ. Некоторые антитроянские средства и антивирусы обладают способностью проводить сканирование портов проверяемого ПК (или строить список прослушиваемых портов без сканирования при помощи API Windows) и следовательно сообщать о подозрении на наличие троянских программы с выводом списка "подозрительных" портов. Полученный список легко сравнить со списком портов в базе APS и сделать выводы о надежности применяемого антивируса\антитрояна.

Принцип работы программы основан на прослушивании портов, описанных в базе данных.
Скачать программу можно прямо с моего блога, а именно по этой ссылке, либо с сайта разработчика.

Установка, как я уже говорил, не требуется. Просто запустите программу из архива.
В настройках программы я бы рекомендовал выставить автозапуск, а так же выделение цветом атакованных, запрещенных и прослушиваемых портов.

Предупреждая следующие вопросы - о подробном анализе результатов открытых портов, атак и пр, скорее всего, напишу отдельно, но позже.

Послесловие

Если что-то не понятно или не получается - пишите или оставляйте комментарии.

PS: Вторая часть статьи на эту тему находится тут.

  • Oza

    Хмм.Прикольная прога.Большое спасибо=)

  • Oza

    ОООО!!! Вобще прога куллл! Короче стала орать типа атака на 135 порт(странно вроде он закрыт)
    Я ip записал.Просканил открыт 445 порт(Удаленное выполнение команд (ms04-007)

    • Sonik

      Прога еще как кулл.
      Я таким образом выявил, что недоконфигурил дома фаерволл и как следствие получал постоянное зафлуживание порта(200 запросов за 5-10минут) откуда-то с Амстердама :)

  • tgr

    Oooo а програмка еще на делфи написано кул =)

  • tgr

    такой вопрос при добавлении порта в игнор, че прога делает ?
    И кстати ты какой файрволл то используешь Соник ?

    • Sonik

      Я пользуюсь почти всем о чем пишу, так что "мой" фаерволл - это ZoneAlarm.
      При добавлении порта в игнор программа просто перестает его мониторить и никак не реагирует на любые атаки этого порта и тд и тп.

      • Андрей

        Скажи что лучше ZoneAlarm или Comodo? и почему?

  • Oza

    Ребят APS орёт что меня атакуют на 135 порт-при том что он у меня закрыт.Вирусов на компе нету(сканил Dr.Web;касперским 8)
    Как можно делать атаку на порт который закрыт?

    • Sonik

      Может он всё таки не закрыт, раз атакуют? :)

  • Oza

    Закрыты точняк....
    У меня стоит Outpost.Просканил себя сканером XSpider 7.5 полная версия.Не один порт не открыт!!!
    Я даже сам себя эксплоитом ломать пытался-эксплоит не пашет)))

    • Sonik

      Тогда не знаю :)

    • VolodjaLviv

      Для корректной работы APS в режиме контроля за работой файервола необходимо в настройках файервола запретить APS работать с сетью.Если же APS использовать в качестве сетевой ловушки,открытой для взлома-тогда разрешить.В последнем случае срабатывание APS сигнализирует о том,что кто-то заинтересовался Вашим ПК,в котором сработал APS.Если при этом в журнале Вашего файервола зафиксировано успешное блокирование атаки-тогда все в порядке;если нет-тогда это повод задуматься о надежности Вашего файервола или его недонастроености.

  • Oza

    Жесть СиС.Админ и незнаешь=)) Ну ладно-сам узнаю))))))

    • Sonik

      1. Не могу же я знать всё :)
      2. Удаленно сложно что-то сказать или сделать.

  • Oza

    Слух Соник прости что не потеме.
    Хочу с тобой пообщаться по icq.
    Если можно то отпишись на мыло

    • Sonik

      Застучись через форму обратной связи, а там разберемся :)
      Я сам просто могу забыть написать.

  • monknan

    Прога прикольная,только вот одно не могу в толк взять как атаки отображать.Вроде все прочла,но это наверное пропустила,подскажите,плиззззз.А то у меня атака на атаке!

    • Sonikelf

      Атаки отражать будет фаерволл.

      APS же работает в виде ловушки, т.е. когда он сигнализирует об атаке - значит, что он распознал её и передал вместо отклика атакуемого порта случайные данные или что-либо еще(в настройках это всё можно сконфигурировать), т.е. условно говоря защитил порт и дал Вам возможность закрыться по средством фаерволла от атаки с именно этого адреса.

  • monknan

    спасибки!я поняла что с фаерволлом,просто не до конца их связь поняла м/д собой!

  • Vladislav_TS

    Добрый день(вечер/ночь...)! Много полезного почерпнул с вашего сайта и вовсю пользуюсь. Но вот после этой статьи у меня возникли некоторые сомнения: правильно ли построил защиту на своём компе, к-рый, кстати, сам по себе слабоват и, порой, притормаживать начинает от, вероятно, слишком многочисленных, хотя и полезных, программочек.
    У меня установлены:
    1. Avast
    2. Comodo FireWall + AntiVirus 3.8.65951.477 (Softodrom усиленно рекомендовал)
    3. Dr.Web Current
    Comodo частенько задаёт вопросы на аглицком, что смущает, ибо надо переводить на русский, что отнимает у меня, сим языком не владеющим, много времени (учиться языку некогда, да и нелегко в 55 лет).
    Может быть, следует удалить Comodo...+ Antivirus... и поставить APS, Вами предложенный? И следует ли убирать Avast?
    Или оставить всё как есть? А если я "антишпиона" поставлю, то, верно, комп ещё больше будет тормозить?
    Ещё у меня работают (также Вами предложенные) TuneUp, AdBlock (AVP), NoScript - всё работает отлично, за что огромное Вам спасибо!

    • Sonik

      APS - это ловушка, а не антивирус и уж тем более не фаерволл.
      Как фаерволл я бы рекомедовал Zone Alarm, как антивирус Dr.web.
      Comodo.. Не знаю, никогда не пользовался этой напасти и сказать ничего не могу.
      Avast неплох, но что-то в нем не так, хотя серверная версия местами очень даже ничего.

      Думайте, все вообщем-то зависит от Ваших предпочтений.

  • Александр

    Классная статья СПАСИБО

  • Vladislav_TS

    Месяц назад купил и поставил Norton Antivirus.
    Вроде, всё отлично. Надо ли ставить ещё файрволл? На всякий случай, так сказать?
    Спасибо.

    • Sonikelf

      Надо.
      Фаерволл и антивирус занимаются совершенно разными вещами, а посему наличие обоих в системе жизненно необходимо.

  • Юлия

    Соник, а тебя не смущает, что последняя версия программы на сайте производителя датирована 2004 годом? Прогресс-то идет.

    • Sonikelf

      Не смущает. Там нечему обновляться, база портов всегда актуальная, функционал тоже. Это не полноценный фаерволл, - это ловушка.

  • Ольга

    Добрый день! Неожиданно натолкнулась на вашу страничку - понравилось. Может вы сможете мне помочь...(я не специалист) На компе программа не видит динамиков. Утановлена windows 7, перепробовала драйверы: realtek, с сайта материнки (gigabyte GA-MA90GPT-UD3H), не видит и все(((

    • Sonikelf

      Какая программа? Каких динамиков?

  • Паша

    подходит чел к компу и говорить вот колонки почему не видиш ))) а под столом стоиш не видно!!
    какая программа не видит динамиков уверены что звук должен а его нет

  • ixaa

    Что скажете в отношении программы PRTG Network Monitor

    • Sonikelf

      Крайне сильная вещь.
      Но, к сожалению, сложновата для рядового пользователя.

  • Mario0

    Соник мне какойто урод погрозил закрыть все мои порты но он даже х3 как мой комп выгледит я скачал вашу прогу установил мне каждый пять минут бьет ошибку то есть что мой порт атакован пишет осторожно ХАКЕР я нажимаю сброс состояния тревего и все успокаевается но потом опять начинет
    и я долго за ПК не сижу а он же может меня день и ночь ломать и как мне быть как ету прогу поставить что бы при выключеном ПК она его атаки не воспринемала в серйоз !?

    • Паша

      когда твой компутер выключен хоть ты как его атакуй защиту не сломаеш когда она не работает и твой комп тоже

  • Mogikan

    Спасибо за статью !..

    • Sonikelf

      Пожалуйста

  • ixaa

    У меня APS часто сигнализирует о хакерной атаке.И в качестве атакующего хоста указывает на ПК-автор,т.е. на меня!!Как же он меня,т.е. своего хозяина принимает за врага?Может какая-то программа изнутри рвется в Интернет? Если это так,то как его вычислить?

    • Sonikelf

      Зависит от порта.

  • san

    [quote comment="12194"]У меня APS часто сигнализирует о хакерной атаке.И в качестве атакующего хоста указывает на ПК-автор,т.е. на меня!!Как же он меня,т.е. своего хозяина принимает за врага?Может какая-то программа изнутри рвется в Интернет? Если это так,то как его вычислить?[/quote]
    У меня при запуске Firefox тоже сигналит об атаке с моего внешнего IP,интересно...

    • Sonikelf

      Подскажите какой порт указывает

  • Rustem

    Реальный сайт, класс!!!

    • Sonikelf

      Рад, что понравилось

  • KirillOF

    У меня все спокойно

    • Sonikelf

      Это радует :)

  • Muha

    Спасибо за сайт! Потихоньку пытаюсь разобраться....
    Поставил APS. В портах ТСР много цифр, в описаниях названия червей, вирусов, и в общем всяких непонятных слов, всё отмечено зелёным, типа прослушивается. А следующая графа - ведётся наблюдение. Дополнительных сведений , попыток, тревог не зафиксировано. Это так и должно быть? или что-то не вы порядке?

    • Sonikelf

      Приветствую.
      Нет, всё в норме, так и должно быть.

      ЗЫ: Всегда пожалуйста

  • Пётр

    Доброго времени суток!
    Sonikelf - ты просто молодец!!!!!
    Такой замечательный сайт с подробным описанием и подходящими для использования программ настройками.
    Я хотел уточнить чуть подробнее по поводу программы APS. Я её скачал-распаковал-запустил, что теперь необходимо сделать, чтобы она работала полнофункционально?

  • Пётр

    Сорри-)) Всё нашел, настроил . Прочел вторую статью. Спасибейшее -спасибо-))

  • Sielo

    Очень интересный сайт, никакого блуда, только по существу, спасибо, очень много всего и все доступно. Прога пригодилась, правда в фаерволе немного сомневаюсь (ESS5)..., вопрос по APS, возможно ли блокировать атакующие ip?, частят, в основном китайцы, заранее благодарен.

    • Sonikelf

      Нельзя. APS - ловушка, а не фаерволл.
      Но насколько я помню она блокирует на время атакующую машину автоматом.

  • Vlad

    Здравствйте!Случайно оказался на вашем сайте,очень понравился,получил очень много полезной и нужной информации,за что-БОЛЬШОЕ СПАСИБО этому человеку.Если позволите,небольшой вопрос,скачал APS.но программка не запускается,подскажите,спасибо

  • Nick

    Заметил, что при работающей APS если запускаешь какую-то программу, то для нее нет свободного порта, APS автоматически не освобождает порт. Может что в настройках надо делать?

  • Руслан

    Здравствуйте . Подскажите пожалуйста я установил и настроил APS , при подключению к интернету он сигнализирует что атака с моего компьютера через 80 порт.Что сделать ?

    • Sonikelf

      Отключите мониторинг 80-го порта в программе

  • Sofiya

    мой брат нашел какую то программку,которая может войти в любой комп и мобильник,и прослеживать что в данный момент происходит и происходило,при том ты сам не понимаешь зашел ли он или нет, с компом ничего не происходит, так вот подскажите пожалуйста подойдет ли эта защита для компа?? и нет ли еще какой нить защиты для мобильников??, а то не хотелось бы чтобы он просматривал личные вещи и т.д.(((

  • Дмитрий

    Не засоряйте всякой... всячиной свой комп
    Большинство случайных вирусов и тп ловиться тем же авастом + адвизор.
    А от "неслучайного" врядли что-то поможет- уж больно они ловко устроины.
    Стерегите пароли и тп не храните все яйца в одной корзине.

  • Дмитрий

    прочел сообщение Sofiyi - это я и имею ввиду. Как не печально лучшие умы работают не в Sunmicro., а пишут вирусы и шпионы на заказ.

  • grifonчик

    Здравствуйте. посдкакжите "чайнику", что это значит:
    порты TCP:
    порт 22 SSH-сервер в графе доп.сведения - 183.61.135.240, попытка 1;
    порт 80 HTTP-Web сервер доп.сведения - 10.236.59.1, попытка 1;
    порт 1433 Microsoft SQL Server (MSSQL), доп.сведения - 125.78.188.74 74.188.78.125. broad.qz.fj.dynamic.163data.com.cn, попыток 2 (этот порт очень часто "пиликает"!!!);
    порт 3389 MS Terminal Server доп.сведения - 87.24.19.156 host 156-19-static.24-87-b.business.telecomitalia.it, попыток - 1 (тоже часто);
    порт 4899 Remote Admin доп.сведения - 189.105.141.92 189-105-141-92.user.veloxzone.com.br (часто); попыток - 1;
    порт 8080 HTTP доп.сведения - 196.33.226.55 hsexmb01.corp.hstrauss.co.za попыток - 2;
    порты UDS:
    порт 53 DNS доп.сведения - 89.248.171.35 длина диаграммы 28, попыток 1.
    В нижнем правом углу написано: порты: 238/TCP, 67/UDP Открыто 0 сокетов (иногда 2-4 сокетв открыто).........
    И что делать???? Что такое файерволл?? где его взять, как,куда установить и как пользоваться???
    Спасибо ;-)

  • Иван

    Добрый день Соник! Такой вопрос, после установки программы APS, постоянно стали вылазить предупреждения, что-то вроде хакерская атака и т.д. Подскажите в чем может быть проблема пожалуйста! Возможно это как-то связано с программой Utorrent, если да то подскажите как внести ее в исключения? Порт 25017, Установлен Eset Smart Security 6.0, так же хотелось бы отметить что интернет пользую через Wi-Fi роутер TP-Link, возможно это тоже имеет значение? Кстати хотел спросить, правду люди говорят, что в роутерах тоже есть защита, что-то типа роутера?

  • Εлена

    Здравствуйте!

    Подскажите,пожалуйста, что делать с моем случае - скачала программу АРС, установилась быстро, но вместо русского языка в интерфейсе программы стоят вопросительные знаки, в таком виде сложно работать и настраивать программу. И цветовая гамма там тоже не проявляется.

    Второй вопрос - что значит ,,порт занят другой программой,, и что делать в этом случае.

    Заранее благодарна за ответ.

  • Евген

    Некропост, например.

    держать под рукой толстый фаерволл под рукой

    Где держать? Я не понял :С

    По сути: Sonikelf, можно ли к вам лично обратиться с вопросом организации почты в небольшом офисе? Если можно, то опишу вам на имейл свою проблему, вдруг у вас есть готовое решение, или вроде того. С меня лайки, репосты, и все такое прочее.

  • Леха

    Здравствуйте.Пишет порт 135 занят другой программой,так и должно быть?и еще вопрос,что такое
    Trojan master Paradise?троян мастер, название меня пугает.

  • Виктория

    Здравствуйте я скачала как вы и сказали появилась папка aps zip и пишет извлечь?что значит извлечь и что делать дальше

    • Sonikelf

      Приветствую. Вы скачали архив, а не папку. Извлечь - значит извлечь архив. После извлечения будет папка с программой.

  • Alexsandr

    Установил всё вроде в норме но на ноутбуке порт 135 (MS net) в статусе пишет: Порт занят другой программой, это нормально (в доп. сведеньях и попытках ничего нет)?

    • Sonikelf

      Порт может быть занят, это нормально. Вопрос в том, кем и зачем.

  • MistreSS

    Здравствуйте. Скачала программу, а мой антивирус ее поместил в карантин, как троян. Я ее восстановила и распаковала. Это нормально, никаких патологий? Антивирус 360 total security

    • Sonikelf

      Это нормальная реакция антивируса

  • MistreSS

    Здравствуйте. Обнаружены несколько атак. Я нажала запретить прослушивать порты, но красный значое все равно мигает. Что делать дальше?

    • Sonikelf

      Приветствую. Для начала почитайте вторую часть статьи. Опять же, не понятно зачем запретили прослушивание

      • MistreSS

        Не увидела вторую часть. Сейчас перечитала, все поняла) единственное что, как оказалось, имя хоста, который атакует - айпи моего роутера. Можете подсказать, почему в этом случае сработала программа? Спасибо

        • Sonikelf

          Атака была на роутер, роутер отдает ответ в сеть, отсюда получается что как бы атакует роутер

  • Александр

    Скачал APS по ссылке, открыл архив запустил .exe-файл и... ничего. Программа не запустилась. Распаковал архив, пытался так запустить, даже от имени администратора - ничего. Что делать?
    Система: Windows 7 x32

    • Sonikelf

      Попробуйте скачать с сайта разработчика, но скорее всего результат будет тот же.
      Может вирус мешает запустится, может чего-то не хватает, вроде .NET Framework

  • Galahad

    Добрый день.
    Последняя версия утилиты APS датируется 2004 годом, в связи с чем возникли следующие вопросы:
    1. Актуальна ли данная утилита для 2017 года и Windows 10 в частности?
    2. Пользуетесь ли вы APS дома/на работе?

    • Sonikelf

      Приветствую.
      1. Да, но в качестве сильно дополнительного варианта
      2. Почти нет (разве что на старых системах), современные стандарты фаерволлов прыгнули так далеко, что потребность в ловушке такого рода становится сомнительной

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам