somna

я неопытный пользователь, но пришлось мне поставить этот самый аутпост.
так вот от с какой-то периодичностью он блокирует что-то. а что я , наверное, никогда не смогу понять. посмотрела в журнале атак, пишет что у атакующего ip 10.255.255.252 либо 10.255.255.254. посмотрела через службу ipadress.ru, это что-то из штатов.
можно ли узнать через какую программу я атакуюсь? а вдруг это какой-нибудь пир качает у меня что-то через торрент-клиент, или какая-то полезная программа? после атаки, аутпост сообщает мне, что узел заблокирован (какой узел? у атакующего или у меня что-то заблокировано?) на 5 минут. ПОСЛЕ ЧЕГО ПРОПАДАЕТ СОЕДИНЕНИЕ((( поэтому я сама его разблокировываю(((( - а можно ли , я не знаю(((

Можно ли сделать так, чобы у меня после блокировки атаки соединение не пропадало?

ПОМОГИТЕ РАЗОБРАТЬСЯ, я в этом ни черта не понимаю.



вот сведения об атакующем ip

Whois Lookup: 10.255.255.252


OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: US



NetRange: 10.0.0.0 - 10.255.255.255

CIDR: 10.0.0.0/8

NetName: RESERVED-10

NetHandle: NET-10-0-0-0-1

Parent:

NetType: IANA Special Use

NameServer: BLACKHOLE-1.IANA.ORG

NameServer: BLACKHOLE-2.IANA.ORG

Comment: This block is reserved for special purposes.

Comment: Please see RFC 1918 for additional information:

Comment: http://www.arin.net/reference/rfc/rfc1918.txt

RegDate:

Updated: 2007-11-27



OrgAbuseHandle: IANA-IP-ARIN

OrgAbuseName: Internet Corporation for Assigned Names and Number

OrgAbusePhone: +1-310-301-5820

OrgAbuseEmail: abuse@iana.org



OrgTechHandle: IANA-IP-ARIN

OrgTechName: Internet Corporation for Assigned Names and Number

OrgTechPhone: +1-310-301-5820

OrgTechEmail: abuse@iana.org

Denesis

В журнале Outposta посмотрите сведения об атакующем, тип атаки, и порт через который все это идет. Вполне возможно, что фаейрволл ошибается и ругается на исходящие пакеты или на не совсем корректные настройки сети. Вы использете интернет как: личный компьютер или компьютер в корпоративной сети?

---------- Добавлено в 18:22 ---------- Предыдущее сообщение было написано в 18:20 ----------

Этот адресс существует, но он зарезервирован и не используется. По ходу дела он должен быть не рабочим.

somna

вот только что мне было выдано сообщение (даже не знаю что это предупреждение выдало система или аутпост), перед которым соединение вообще отвалилось (а не приостановилось как раньше при блокировке на 5 минут) и вызвать vpn-соединение было невозможно - оно вообще никак неоткликалось(( пришлось перезагружаться, псоле перезагрузки упомянутое сообщение и появилось)

но в окошке написано:

Для защиты компьютера эта программа была закрыта системой.
Имя:Generic Host Process for Win32 Sevices
Издатель: Microsoft corp.



кажется что-то не то прикрылось?



я помню раньше , когда еще не стоял аутпост, была какая-то беда с этим generic gost process, все время отваливалось впн-соединение и выдавалось сообщение и что-то там было написано про этот самый generic gost process. При этом у меня никакой фаерволл не стоял, даже обыкновенный виндоусовский бранмауер был вырублен и когда я его включила, проблема исчезла. Теперь, кака я понимаю роль брандмауера на себя аутпост взял? что это за ошибка?

---------- Добавлено в 19:30 ---------- Предыдущее сообщение было написано в 19:23 ----------

это мой личный компьютер. а что за исходящие пакеты? у меня лицензионная винда - может меня майкрософт обслуживает, это аутопост и запретил?

а где это посмотреть? там журнал внутренних событий, брандмауэра, детектоа атак, журнал HTTP, блокировка содержимого - де именно должна быть эта информация?

Denesis

В детекторе атак. Что ж Вы сразу не сказали, что у Вас vpn. Это вечная проблема у всех.

somna

касательно тех "заблокированных на 5 минут" узлов информации нет(((
вот смотрю в журнале бранбмауэра (включила "отобразить заблокированные сегодня" - и там нет ничего на то время , когда те узлы блокировались и соединение приостанавливалось)

но что вот это за процессы заблокированные, подскажите пожалуйста!!

19:29:12 SVCHOST.EXE IN TCP vpn1-a97.Cherepovets.golden.ru 4128 Block incoming RPC (TCP) 0 0
19:26:00 SVCHOST.EXE OUT UDP (255.255.255.255) 138 Запретить NetBIOS-трафик 0 0
19:24:23 SYSTEM IN TCP vpn1-a123.Kaliningrad.golden.ru 19393 Запретить NetBIOS-трафик 0 0
19:21:55 SYSTEM IN TCP PPPoE-78-29-92-150.san.ru 1323 Запретить NetBIOS-трафик 0 0
19:19:50 SVCHOST.EXE IN TCP vpn1-a97.Cherepovets.golden.ru 1660 Block incoming RPC (TCP) 0 0
19:17:59 SVCHOST.EXE OUT UDP (255.255.255.255) 138 Запретить NetBIOS-трафик 0 0
19:15:49 SVCHOST.EXE IN TCP vpn1-a197.Samara.golden.ru 1727 Block incoming RPC (TCP) 0 0
19:14:02 SVCHOST.EXE OUT UDP (255.255.255.255) 138 Запретить NetBIOS-трафик 0 0
19:12:33 SYSTEM IN TCP vpn1-a97.Cherepovets.golden.ru 4022 Запретить NetBIOS-трафик 0 0
19:09:48 SVCHOST.EXE OUT UDP (255.255.255.255) 137 Запретить NetBIOS-трафик 0 0
19:09:48 N/A OUT IGMP IGMP.MCAST.NET * Block IGMP 0 0
19:09:48 N/A OUT IGMP IGMP.MCAST.NET * Block IGMP 0 0
19:03:14 N/A OUT IGMP IGMP.MCAST.NET * Block IGMP 0 0
18:56:44 SYSTEM IN TCP (88.200.235.209) 14720 Запретить NetBIOS-трафик 0 0
18:52:36 SVCHOST.EXE OUT UDP (255.255.255.255) 138 Запретить NetBIOS-трафик 0 0
18:50:29 SYSTEM IN TCP tx-71-0-225-4.sta.embarqhsd.net 3915 Запретить NetBIOS-трафик 0 0
18:47:43 SVCHOST.EXE OUT UDP (255.255.255.255) 137 Запретить NetBIOS-трафик 0 0

---------- Добавлено в 19:41 ---------- Предыдущее сообщение было написано в 19:37 ----------

а в детекторе атак у меня нет таких столбцов (порты), только вот эти 4 столбца: время, айпи, событие и тип атаки.
18:24:05 10.255.255.254 Узел заблокирован на 5 мин. SHORT_FRAGMENTS
18:25:00 10.255.255.254 Атакующий разблокирован
18:34:50 10.255.255.252 Узел заблокирован на 5 мин. SHORT_FRAGMENTS
18:36:07 10.255.255.252 Атакующий разблокирован



а чт за проблема, что сделать?

---------- Добавлено в 19:59 ---------- Предыдущее сообщение было написано в 19:37 ----------

а кстати нужен ли этот аутпост дома, если за машиной работаю только я одна , может обновляющегося антивируса достаточно?

Denesis

Я думаю, что на это можно не обращать внимания: просто компьютер стучится провайдерам. Насчет Аутпоста дома - я бы советовал оставить. Он ведь не только для блокирования атак, а и антиспайер, и рекламу блокирует, и т.д.

---------- Добавлено в 19:10 ---------- Предыдущее сообщение было написано в 19:09 ----------

Соединение обравается от-того, что блокируется служба, которая дает интернет. Поэтому все и обрывается. Не блокируйте это. Интересно было бы послушать мнение 01pump.

01pump

somna, У вас какая версия оутпоста? Вы видимо все настройки по максимуму сделали вот у вас подсеть атакующего и блокируется. А так как вы сидите в локалке то вот он и блокирует всю вашу сеть.

В меню: Настройки-Детектор атак-Убрать птичку "Блокировать подсеть атакующего".
Или в меню Настройки:Конфигурация-создать новую конфигурацию (создайте с настройками по умолчанию чтоб не переусердствовать) А чтоб не смущали частые атаки с сети то в детекторе атак уберите птички с "Показывать визуальное оповещение" и "Проигрывать звуковое оповещение". Главное "подсеть не блокируйте" иначе свой подвиг повторите

somna

Denesis, не получается не обращать внимания. теперь соединение вырубает конкретно, так что не сединиться, только перезагрузка и все.

01pump, нет, у меня стоит уровень следующий после "бездействия" так что не максимальные настройки((

правда ли что эту проблему третий сервиспак может решить?

set of letters

SP3 поставьте, только с сайта Microsoft и версию Final, и обновления через Центр обновления Windows установите все. Agnitum outpost желательно поменять на другой. Мой комп тоже атакуют и порты сканируют, только ни мне ни компу это не мешает.Об это я в Журнале событий только узнаю.Просто у меня другой фаейрволл .Поэтому работает по другому.
Ошибка:Generic Host Process for Win32 Sevices - После установки обновления безопасности MS05-012 в сообщениях электронной почты в формате RTF не отображаются имена присоединенных файлов, содержащие символы DBCS, и может появляться сообщение об ошибке Generic Host Process:
такое появилось после последнего обновления. В нем найдена дыра. Нужно поставить это:
http://www.microsoft.com/downloads/d...a-46b3eac7a305
Их, обновления, все долго переписывать, в общем все ставить надо.
Еще вот:
Generic Host Process for Win32 Services - обнаружена ошибка
Примечание. Эта проблема возникает только после установки пакета обновления 2 (SP2) для Microsoft Windows XP.
Имена вложенных файлов не отображаются в сообщениях электронной почты при выполнении следующих условий.
Имя файла содержит символы в двухбайтовой кодировке (DBCS).
Длина имени файла превышает 42 символа.
Примечание. Эта проблема возникает только для сообщений электронной почты в формате RTF.
После установки обновления безопасности 873333 может возникать повреждение кучи для приложений, использующих интерфейс отладки IMallocSpy. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
894194 После установки обновления безопасности 873333 может возникать повреждение кучи для приложений, использующих интерфейс отладки IMallocSpy
Короче здесь посмотрите, если непонятно будет, то просто упорно установите все обновления и все.
См. здесь:http://support.microsoft.com/kb/894391/ru
Ну вроде все. Удачи Вам.

01pump

Что нет?
Вам разве об этом писали? Вам писали что в детекторе атак там где выбор действия оставить птичку в" Блокировать IP адрес на 5 минут" а остальные птички про "уведомления и блокировку подсети " убрать

ЗЫ а еще бы указать версию файервола чтоб не гадать
ЗЫ№2 и выполнить вот эту http://pchelpforum.ru/f26/t6442/ дребедень

Dinamit

Люди HELP! Я знаю что Брэндмауэр это полное г****! Я установил Firewall и после этого инет начал тормозить! Что мне поменять в нстройках или скиньте плз файл с нормальной настройкой

01pump

Dinamit, Как тут написал создайте новую конфигурацию с настройками по умолчанию. Сами ничего не блокируйте