El cortafuegos intercepta continuamente las ondas de choque de ***(IP).
¿No estás recibiendo tus datos directamente sin pasar por el router?
Resolví esto y lo publiqué aquí. "
Skynet es popular ahora. En primer lugar, porque está fabricado en China, todo el mundo tiene este entusiasmo. En segundo lugar, la función es realmente buena. En tercer lugar, todo el mundo tiene una mayor conciencia de la seguridad.
Pero también hay personas que sienten que una vez que se abre Skynet, todos los virus son inmunes y tengo ideas extremas. Alguien abrió Skynet y el signo de exclamación amarillo a menudo parpadea. La computadora de un hermano se reinicia varias veces, y él lo pensó. Fue un ataque de piratas informáticos. Me pidió que lo comprobara y dijo que fue atacado. No es nada. Los firewalls comunes interceptan información. Espero que sea útil para muchos hermanos. Everyone. p>Los registros de Skynet generalmente tienen tres líneas:
La primera línea: hora de envío (recepción) del paquete/dirección IP del remitente/puerto de comunicación del destinatario/tipo de paquete/puerto de comunicación local
ACK: El indicador de confirmación indica que el sistema remoto ha recibido todo con éxito. data.
SYN: Indicador de sincronización. Este indicador solo es válido cuando se establece una conexión TCP. Solicita al servidor de la conexión TCP que verifique el número de secuencia. Los paquetes con este indicador se utilizan para finalizar la sesión TCP, pero el puerto correspondiente aún está abierto y listo para recibir datos posteriores
RST: Restablecer indicador, la función específica se desconoce
<. p>La tercera línea: El método de procesamiento del paquete de datos: no cumple con las reglas. El paquete de datos será interceptado o rechazado y se mostrará como "Operación denegada", es decir, el firewall lo ha bloqueado.⑴: El más común: intente hacer ping a esta máquina.
Establezca "Evitar que otros usen el comando PING para detectar el host" en las reglas del firewall y su computadora no devolverá paquetes ICMP. a la otra parte, para que otros no puedan usar el comando PING para detectar la existencia de su computadora. Esta situación es solo una simple detección del comando ping, como: ping 210. 29. 14.130, aparecerá el siguiente registro:
[11:13:35] Protocolo de mensajes de control de Internet Quién recibe 210. 29. 14.136,
Tipo: 8, Código: 0,
El paquete fue interceptado.
El nombre completo de IGMP es Protocolo de administración de grupos de Internet. Es una extensión del protocolo IP y lo utilizan principalmente los hosts IP para notificar a sus hosts vecinos sobre la pertenencia al grupo. significa que la computadora está bajo ataque, pero los piratas informáticos pueden usar los errores en el propio Windows para escribir programas de ataque contra la computadora objetivo. Lanzar un ataque para provocar que el sistema operativo de la computadora atacada muestre una pantalla azul o falle. Las bombas de pantalla azul generalmente utilizan el protocolo IGMP.
En términos generales, cuando se produce un ataque IGMP, aparecerá en los registros como una gran cantidad de paquetes IGMP provenientes de la misma dirección IP. Sin embargo, a veces recibir un mensaje de este tipo no significa necesariamente que se trate de un ataque de pirata informático o virus. A menudo se reciben en la LAN paquetes de datos similares desde la puerta de enlace.
Además: Su computadora ha sido instalada con muchos software que se pueden actualizar automáticamente en línea, como Rising, KV, actualización automática de WINDOWS, Trojan Nemesis, Magic Rabbit, etc. Cuando el proveedor de este software es un servidor, cuando quiere actualizar este software, verifica su cliente y envía instrucciones de actualización. El proceso de verificación de clientes es PING clientes. Esto es algo que muchos buenos amigos ignoran. Este es un nivel.
Hay otro registro de información de PING:
[14:00:24]210.29.14.130 Intente hacer ping a esta máquina.
La operación fue denegada.
En este caso, el escáner generalmente detecta el host y el objetivo principal es detectar si el host remoto está conectado a Internet.
Si ocasionalmente aparecen uno o dos registros de la misma dirección IP, es muy probable que alguien más haya utilizado alguna herramienta de hacking para detectar la información de tu host o sea por culpa de un virus. Por ejemplo:
Intente hacer ping a esta máquina.
La operación fue denegada.
210.29.14.13 Intente hacer ping a esta máquina.
La operación fue denegada.
210.29.14.85 Intente hacer ping a esta máquina.
La operación fue denegada.
[14:01:20]210 . 29 14.68 Intente hacer ping a esta máquina.
La operación fue denegada.
Si no es causado por piratas informáticos, estas máquinas generalmente están infectadas con el virus de la onda de choque. Las máquinas infectadas con Shockwave Killer buscarán vulnerabilidades RPC haciendo ping a otras máquinas en la red y, una vez encontradas, propagarán el virus a estas máquinas. Las máquinas infectadas con el virus en la red de área local también enviarán mensajes automáticamente. En este caso, primero debe prestar atención a parchear el blaster y verificar si hay virus. Gané V-King pero la gente de la misma red simplemente ignoró el virus y lo ignoró. Tuve que dejar de estar en línea con ellos todos los días.
⑵: Algunos registros de información de puertos comunes
[16:47:24]60.31.133.146 intenta conectarse al puerto 135 de esta máquina.
Banderas TCP:
La operación fue rechazada.
Igual que el anterior, es un gusano de onda de choque que explota las vulnerabilidades del servicio RPC. El principal método de ataque del virus es escanear el puerto 135 de la computadora para atacar. Es necesario actualizar los parches de Microsoft.
Intente conectarse al puerto NetBios-SSN[139] de esta computadora.
Banderas TCP:
La operación fue rechazada.
Características: Una IP se conecta al puerto NetBios-SSN[139] de la máquina varias veces. Se caracteriza por intervalos de tiempo cortos y conexiones frecuentes.
El puerto 139 es el puerto utilizado por el protocolo NetBIOS. Al instalar el protocolo TCP/IP, NetBIOS también se instalará en el sistema como configuración predeterminada. La apertura del puerto 139 significa que el disco duro puede compartirse en la red; ¡los piratas informáticos de la red también pueden conocer todo lo que hay en su computadora a través de NetBIOS! NetBIOS es el sistema de entrada y salida de la red. Aunque el protocolo TCP/IP se ha convertido en un protocolo de transmisión ampliamente utilizado, el protocolo NetBEUI proporcionado por NetBIOS todavía se utiliza ampliamente en las LAN. NetBIOS es completamente inútil para máquinas en red y puede eliminarse. ¿No? Compruébelo usted mismo
60.31.135.195 intentos de conectarse al puerto CIFS[445] de esta máquina.
Banderas TCP:
La operación fue rechazada.
A través del puerto 445, puedes acceder fácilmente a varias * * * carpetas o * * * impresoras en la LAN, pero gracias a él, las personas con motivos ocultos tienen la oportunidad de aprovecharlo.
SMB: Familia de protocolos de Windows para servicios de archivos e impresión.
NBT: La interconexión NETBIOS basada en TCP/IP se implementa utilizando 137 (UDP), 138 (UDP) y 139 (TCP).
Además de NBT, está el encabezado de mensaje básico SMB. SMB puede ejecutarse directamente sobre TCP sin NBT.
En Windows NT, SMB se implementa basándose en NBT. En WinXP, SMB no solo se implementa en base a NBT, sino también directamente a través del puerto 445. Cuando se utiliza WinXP (que permite NBT) como cliente para conectarse a un servidor SMB, intentará conectarse a los puertos 139 y 445. Si el puerto 445 responde, enviará un paquete RST al puerto 139 para desconectarse y continuar la comunicación con el puerto 455. Cuando no haya respuesta en el puerto 445, se utilizará el puerto 139.
El puerto 135 se utiliza para proporcionar servicios de comunicación RPC y el puerto 445, al igual que el puerto 139, se utiliza para proporcionar servicios para archivos e impresoras. Normalmente, las máquinas LAN *disfrutan* y transfieren archivos (puerto 139.
Las máquinas que se conectan a sus puertos 135 y 445 deberían enviar paquetes pasivamente, o pueden ser conexiones normales sin virus, aunque esto es menos probable. En ese caso, por supuesto, también puedes escanear el segmento de IP de la persona con la que estás chateando. Esto también es común. Los novatos son así cuando se trata de técnicas de piratería, pero a menudo no obtienen nada. Esa gente debería echar un buen vistazo.
Principio del protocolo TCP/IP.
Como se mencionó anteriormente, los virus que se propagan en la LAN harán ping a las máquinas de la LAN. Por supuesto, el host vulnerable no puede escapar de la conexión del puerto. Los virus que se conectan al puerto 135 son gusanos. Este también es el caso cuando se intenta hacer ping a la máquina local. Este tipo de detección del puerto 135 generalmente se propaga a través de la LAN. El fenómeno es que el puerto 135 de la máquina local está constantemente conectado a la misma IP. En este momento, el host remoto no ha parcheado la onda de choque y el gusano ha estado escaneando el mismo segmento de IP (esta es mi propia opinión. Se estima que el método de propagación de la onda de choque en WAN y LAN es diferente, corríjame). !)
A La IP está conectada al puerto NetBios-SSN[139] de la máquina varias veces, lo que se caracteriza por intervalos de tiempo cortos y conexiones frecuentes. En ese momento, las computadoras enumeradas en los registros estaban infectadas con el "virus Nimda". Los ordenadores infectados con el "virus Nimda" tienen una característica. Buscarán todos los * * * recursos compartidos disponibles en la red de área local y copiarán el virus a * * * carpetas compartidas con control total, logrando así el propósito de propagar el virus. ¡Estas personas deberían ser compasivas y matar bien el virus!
Intenta conectarte a esta máquina
Tutorial de Skynet:/soft/day-mesh work/day-network/4. Tienes tiempo, pero es suficiente para explorarlo tú mismo. Es mejor hacerlo que ver un tutorial.