Да, первая публичная бэта 6.1 7000, скачал где-то после нового года, как подключаюсь - качает обновления, благо безлимитка. Удивляюсь огромному количеству установок этих бэт, и сколько из них ходит в Интернет через USB ADSL модем, как в моём случае, и беззащитны.
Насчёт техподдержки Мелкософта - пробовал сунуться, там всё на буржуйском, не осилил.

2 SOLDIER
Причмокивая Аутпост ничего не обеспечивает......Сергей Гордейчик

Вообще возникает масса вопросов

Мансур. Вы знакомы с принципом работы пакетного сниффера?
Пакетный сниффер смотрит сырые данные на интерфейсе. Ему нет никакого дела до того, как ОС будет их обрабатывать. Мало того, сниффер вполне может видеть пакеты, вообще не предназначенные для Вашего хоста, а "пролетающие" мимо. Это в том случае, если Вашем сегменте сети есть еще работающие хосты.
Так что то, что Вы видите, абсолютно закономерно.
В частности это подтверждается тем, что получены 3 SYN пакета с одинаковым ack number и не было ни одного SYN/ACK или RST или ICMP ответа. Ведь если бы файервол пропустил SYN пакет в windoze, то она непременно бы так или иначе ответила.

Расслабьтесь (:

ЗЫ: а SOLDIERу с Acidом, по идее, должно быть стыдно ((:

Дело в том что это мой, самодельный сниффер, и как он работает я в курсе. И утверждаю, что если бы на конкретный 445/tcp порт данного интерфейса был прибинден сокет, причём не обязательно RAW сокет, сокет подучил бы данный якобы дропнутый пакет, а этого не должно быть, иначе это огромная дыра в безопасности.

Совсем недавно читал на http://4sysops.com/ о том, что все преимущества на сборке Windows 7 Beta1 (сборка 7000) - ещё не осуществлены. Не шарю в аглицком, потому конкретно и подробно не скажу, но в двух словах:
они предлагают server 2008 с клиентами под Windows 7 - как наиболее благоприятную в плане безопасности связку. При этом несколько новшеств пока не реализованы в системе, хотя аналитики Гарнер Гроуп утверждают, что система не нуждается в сервис паках и является максимально стабильной и защищёной. Ещё один нюанс который потребует дополнительных капиталовложений для использования всех преимуществ такой связки, где сервер 2008 а клиенты вин севен - это наличие на сервере двух сетевых карт для обеспечения работы DirectAcess.
Хотя, эээ - несколько не по теме.

Ну, главное, то мы уловили.
Я в силу не высокой компетенции, говорить конкретно не могу. Но насколько успел ознакомиться с принципами работы, вернее использования снифера и сканирования вообще, то на мой взгляд большого внимания заслуживает комментарий RU_LIDS.
Венда не отвечает. Но ведь только по ответам сканер\сниффер определяет сервис и т.д?

2 SOLDIER

Ну не скубент давно. Но ты прав мне не стыдно

2 RU_LIDS

Я написал сообщение SOLDIER да решением проблемы не занимался и сам скрин не узучал но есть сноска на то что возникает масса вопросов по полуцченному скрину.

Скучно и не интересно. Тем более тестировать продукт который не будет иметь успех на рынке работая на дядю уже Стива за просто так тестирую его продукты.
Даже академического интереса не вызывает так как видна иглоподсажывание народа на продукты Microsoft.
Вот так вот скубент стал ACID.
Так что в компанию Microsoft я не стремлюсь работать, потому что мы не сошлись понятиями. Гнобить её не стану. Но отмечу что работать с Майкрософт становиться все хуже и хуже. Потому как прошел период когда покупатель выигрывал от конкуренции, так как конкуренции на рынке практически нет.

To RU_LIDS

Да, создаётся сырой сокет, переводится promiscuous mode, биндится к интерфейсу и принимает пакеты с этого интерфейса.


Нет, ничего этого не знаю и знать не хочу, просто читаю лог-файл, где написано, что конкретный пакет дропнут, и сравниваю с показаниями сниффера, где этот дропнутый пакет принят, скопирован в рабочий буфер, декодирован и выдан на экран.


Это моё упущение, исправляюсь.
Во первых, этот простенький сниффер на данном интерфейсе видит только входящие пакеты, такая конструктивная особенность.
Во вторых, это и не суть важно, что не ответили на SYN пакеты, возможно, исходящие пакеты фаерволл таки дропает не понарошку, но это уже проблема руткита или троянчика.
В третьих, ещё раз утверждаю что тот , кто захотел бы принять этот пакет, мог создать обыкновенный TCP сокет (даже без прав администратора), прибиндить его к интерфейсу/порту 445 и прочитать.

Мансур. Я потому весь этот флейм затеял, что мне не понятно на чем основано это Ваше утверждение:
В нормальной ситуации он там ничего не прочитает. Ведь то, что видит Ваш сниффер в промиск режиме, на сокет попадает ТОЛЬКО ЕСЛИ разрешено в файерволе и адресовано этому IP и этому порту, на котором сокет.

Я не силен в виндозе, но по аналогии с linux, для работы с сырыми пакетами нужно поставить libpcap (в виндозе winpcap). Для работы с libpcap нужны права рута.

А вот это полный абсурд. В том то и дело, что пакет дропается на самом деле. Если бы пакет пришел на закрытый порт, то был бы ответ RST, если на listen, то в ответ был бы SYN/ACK.

Очень похоже, что Вы пытаетесь заново изобрести Wormhole-tunneling с помощью PCAP