Per il collegamento alla rete utilizzo un D-link USB adapter connesso in wi-fi ad alice gate W2+: nel log delle attività trovo messaggi di blocco (con severità media) che a mio avviso potrebbero essere evitati con opportune regole di “network monitor”. I messaggi si susseguono infatti ad intervalli regolari di 1 o 2 minuti ed almeno per quanto riguarda i messaggi legati al protocollo IGMP sembrano legati alle interrogazioni regolari che il router effettua per conoscere chi è in rete; di più difficile interpretazione sono invece gli altri messaggi in cui i primi due caratteri dell’ indirizzo IP corrispondono ai primi due del mio attuale indirizzo IP. Riporto qui di seguito parte del log:
Date/Time :2007-06-01 17:47:05
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = xx.y.144.218, Port = nbsess(139))
Protocol: TCP Incoming
Source: xx.y.144.218:2533
Destination: xx.y.19.201:nbsess(139)
TCP Flags: SYN
Reason: Network Control Rule ID = 13
Date/Time :2007-06-01 17:46:49
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = xx.y.182.94, Port = MS-ds(445))
Protocol: TCP Incoming
Source: xx.y.182.94:3056
Destination: xx.y.19.201:MS-ds(445)
TCP Flags: SYN
Reason: Network Control Rule ID = 13
Date/Time :2007-06-01 17:46:29
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = xx.y.144.218, Port = http(80))
Protocol: TCP Incoming
Source: xx.y.144.218:1180
Destination: xx.y.19.201:http(80)
TCP Flags: SYN
Reason: Network Control Rule ID = 13
anche io ho lo stesso tipo di problema,mi escono in continuazione quel genere di messaggi… come faccio ad evitarli? (non sono dietro un router). e perchè tutti cercano di contattarmi su quelle porte? che ne sanno che io sono connesso?ho fatto scansioni con tutti i genere di antivirus antispyware che ci sono in giro…ma il pc è pulito…questo è un estratto dei messaggi
Date/Time :2008-01-26 10:32:24
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = 87.1.36.208, Port = MS-ds(445))
Protocol: TCP Incoming
Source: 87.1.36.208:2948
Destination: 87.1.35.143:MS-ds(445)
TCP Flags: SYN
Reason: Network Control Rule ID = 10
Date/Time :2008-01-26 10:32:19
Severity :MediumReporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = 87.1.36.208, Port = MS-ds(445))
Protocol: TCP Incoming
Source: 87.1.36.208:2948
Destination: 87.1.35.143:MS-ds(445)
TCP Flags: SYN
Reason: Network Control Rule ID = 10
Date/Time :2008-01-26 10:31:34
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = 84.181.120.114, Port = MS-ds(445))
Protocol: TCP Incoming
Source: 84.181.120.114:61414
Destination: 87.1.35.143:MS-ds(445)
TCP Flags: SYN
Reason: Network Control Rule ID = 10
Date/Time :2008-01-26 10:29:59
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = 60.220.70.61, Port = 30990)
Protocol: UDP Incoming
Source: 60.220.70.61:19723
Destination: 87.1.35.143:30990
Reason: Network Control Rule ID = 10
Date/Time :2008-01-26 10:28:49
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = 65.111.201.103, Port = 2968)
Protocol: TCP Incoming
Source: 65.111.201.103:3092
Destination: 87.1.35.143:2968
TCP Flags: SYN
Reason: Network Control Rule ID = 10
Quel tipo di avvisi sono più che normali, anzi, significa che il firewall sta facendo il suo dovere.
Brutto è quando non segnala nulla pur essendoci attività di rete.
Come puoi vedere anche dal mio log allegato, i tentativi sulle porte sono simili.
La cosa è un po’ lunga da spiegare.
Questo tipo di attacchi, in genere, sono portati dai computer cosiddetti “Zombie”; fai una ricerca con la chiave “computer zombie” su Google e vedi cosa esce fuori per farti un’idea. :’(
Qui c’è un sito che permette di verificare se il proprio numero IP sia tra gli “zombie” (però si consideri che chi ha un numero ip dinamico, questo cambia ad ogni connessione con il provider): http://www.rbltest.com/
Il fatto è che l’ignoranza informatica della maggior parte delle persone sulle minime linee di difesa da adottare per non farsi infettare il pc, è sovrana, e questo è il risultato:
un Web pieno zeppo di computer infetti che scansionano range di numeri ip, per infettare a loro volta coloro che trovano senza difese.
Una stima per difetto di computer zombie e di circa un milione di pc!! :-X
grazie per la risposta esauriente…iniziavo a preoccuparmi di dover formattare il pc,di essere infetto e che gli antivirus non vedevano nulla…cmq come difese io uso antivir,comodo firewall,poi come scansioni non in real time avg antispyware,bitdefender,spybot,adware.per prevenzione spyware uso spyware blaster tutti free
cmq la migliore soluzione è quella di usare una distro linux…peccato che non tutti i programmi che mi servono ci girano :s
Grazie per la visita sul blog e il commento
Questo può anche capitare … ma in genere è abbinato a strani comportamenti del pc tipo files cancellati che ricompaiono misteriosamente, rallentamenti, programmi che s’inchiodano ecc.
cmq come difese io uso antivir, comodo firewall, poi come scansioni non in real time avg antispyware, bitdefender, spybot, adware. per prevenzione spyware uso spyware blaster :) tutti free :D
Ottimo :-TU
cmq la migliore soluzione è quella di usare una distro linux...peccato che non tutti i programmi che mi servono ci girano :s
Infatti questo è uno dei problemi principali … oppure si possono usare programmi tipo Returnil.
