Blokowanie przez firewall nbdgram port 138 i nbdname port137


(Pan Ziombl) #1

comodo blokuje mi non stop te porty z takimi komentarzami. połaczenia przychodza z roznch adresow ip z mojej sieci (kablowka) w googlach jest cos o tym ale po angielsku.(coś o atakch) help

dziś znalazłem cos takiego

Do prawidłowego działania w otoczeniu sieciowym czyli sieci SMB twój system musi mieć otwarte poniższe porty, które są ujęte oczywiście w tym wyjątku:

* port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)

* port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)

* port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)

???? wczesniej niczego takiego mi nie blokowało, net działa normalnie, tylko ciągle blokuje te różne ip


(Rkolodziejak) #2

W/w porty są używane przez systemy Windows do komunikacji wewnątrz sieci - udostępniania plików itd. Portów tych używa np. usługa Posłaniec służąca do komunikacji pomiędzy komputerami w sieci (net send). Niestety na tych portach (zarówno wprzez protokół tcp i udp) rozprzestrzeniają się również wewnątrz sieci różnego rodzaju wirusy, backdory i inne cuda z zaśmieconych komputerów. Istnieje także możliwość dokonania ataku np. poprzez zfałszowanie nagłówka pakietu i podszycie się pod jeden z komputerów w danym otoczeniu sieciowym. Większość administratorów sieci blokuje te porty w celu ograniczenia ataków, podobnie czynią firewalle.

Sytuacja ta dotyczy także portu 445 (SMB).

U ciebie firewall wykrywa podejrzany ruch na tych portach. Mogą to być próby ataków ale raczej nie ze strony użytkowników tylko wirusów znajdujących się na ich komputerach i próbujących dostać się na twoją maszynę. Bardzo często jest to również próba skanowania twoich portów z innego komputera, w celu stwierdzenia które z nich są otwarte i następnie wykorzystania ich do ataku. To zazwyczaj także robią wirusy, jednakże domorosłego "hakera" wykluczyć nie można.

TU masz bardzo dokładną informację w języku polskim (trochę wolno się ładuje)

http://www.searchengines.pl/index.php?s ... entry26788

pzdr :slight_smile:


(Pan Ziombl) #3

dzieki za pomoc, użyłem tych dwóch programów z linka, porty zabezpieczone. Jednak nadal comodo blokuje te dwa porty z różnych ip z mojej sieci-rozumiem że blokuje te porty ale one i tak są wyłączone? w wwdc strzałki przy tych portach są zielone-czyli netbios.

tyle osób z mojej sieci ma wirusy na kompach? wiem że to możliwe-troche przerazajace.


(De Niro) #4

odinstaluj Udostępnianie plików i drukarek w sieciach Microsoft Network

start-> uruchom-> services.msc

serwer

Przeglądarka komputera

Pomoc TCP/IP NetBIOS

Posłaniec


(Pan Ziombl) #5

ok, zrobilem tak, problem nadal aktualny, w wwdc pokazuje że te porty zamkniete i bezpieczne ale comodo nadal wykrywa ruch na tych portach

blokuje też dużo jakiś połaczen ICMP=port unreachable. nawet jeśli nie mam włączonej przeglądarki www


(Rkolodziejak) #6

Wszystko jest ok. Porty masz pozamykane a firewall po prostu blokuje wszelkie próby skanowania czy jakiegokolwiek ruchu przychodzącego na nie. I tak ma być. Takie właśnie jest zadanie firewalla. Takie zdarzenia to normalka, non stop ktoś (lub coś) będzie próbował a firewall ma to blokować.

A jeśli chodzi o ICMP to nic innego jak ping. O pingu to w wiki znajdziesz mnóstwo do czytania. Generalnie służy on do sprawdzania czy dany host (komputer) jest osiągalny. Ping w postaci pakietu ICMP Echo Reply wysłany do maszyny powoduje odpowiedź i można po tym stwierdzić że dany komputer, serwer jest włączony, podłączony do internetu i działa (i jeszcze wiele innych rzeczy można z niego wyciągnąć). Firewall blokuje takie pakiety po to aby ktoś z zewnątrz nie mógł stwierdzić czy twój komputer działa - co może zniechęcić go do dokonania ataku (bo po co atakować maszynę która jest wyłączona lub która jest zabezpieczona ) :slight_smile:

Wirusy również używają tej metody, żeby sprawdzić do którego komputera można by się dostać.


(Pan Ziombl) #7

Wielkie dzięki za pomoc :slight_smile: