Цитата |
---|
Lada пишет: Не забывайте, что отправляемое сообщение помечается(шифруется) не всё полностью, а как некая "выжимка", что ли, и соответственно обладает устойчивостью кэш-функции. Если я ошибаюсь, внесите поправку. |
31.01.2004 15:48:53
не могу представить себе сервер который бы выдержал такой трафик.
представляю какая бы битва была между разведками мира за право обладания таким сервером пока есть методы обычные, которые к сожалению не применяются администраторами: - запрещать перенаправлять почту через себя на чужой домен. принимать только почту своего домена. - включать аутентификацию на сервере. без нее не отправлять почту от клиента. - проверять действительно ли сервер который передает почту клиенту имеет MX запись. |
|
|
30.01.2004 16:16:22
Утилита перехватывающая операции с файлами лежит тут:
Там же есть исходники. Эта утилита использует функцию IFSMGR_InstallFileSystemApiHook() в W95-98-MЕ. Или подключается в стек IRP, то есть работает как фильтр файловой системы в NT-W2K-XP-2003. Тебе нужно взять исходник драйвера и немножко подправить. Смотришь если идет операция с твоим файлом, то обламываешь ее. Если не с твоим то пропускаешь. Достаточно просто. Всего один if добавить. Я уже делал это. Добавлю, что если ты справишься с этой задачей, то следующей задачей будет передача информации из Ring0 в Ring3. (Обратно легко - через IOCTL) Правда в filemon это сделано, но тебе этот вариант не подойдет. Вот тут ты попотеешь.... А вообще тебе нужно общаться на эту тему в конференциях типа "драйвера под Windows". Идешь на |
|
|
30.01.2004 16:01:47
Недавно читал в книженции "Программирование в сетях Windows", что оканчивается ентот дияпазон на 235.0.0.0
Книжку тоже человек написал, и он ошибся. Интересно а что начинается после 235.0.0.0 в этой книжке? Если зайти на официальный сайт организации которая распределяет адреса: 224/8 Sep 81 IANA - Multicast 225/8 Sep 81 IANA - Multicast 226/8 Sep 81 IANA - Multicast 227/8 Sep 81 IANA - Multicast 228/8 Sep 81 IANA - Multicast 229/8 Sep 81 IANA - Multicast 230/8 Sep 81 IANA - Multicast 231/8 Sep 81 IANA - Multicast 232/8 Sep 81 IANA - Multicast 233/8 Sep 81 IANA - Multicast 234/8 Sep 81 IANA - Multicast 235/8 Sep 81 IANA - Multicast 236/8 Sep 81 IANA - Multicast 237/8 Sep 81 IANA - Multicast 238/8 Sep 81 IANA - Multicast 239/8 Sep 81 IANA - Multicast 240/8 Sep 81 IANA - Reserved 241/8 Sep 81 IANA - Reserved 242/8 Sep 81 IANA - Reserved 243/8 Sep 81 IANA - Reserved 244/8 Sep 81 IANA - Reserved 245/8 Sep 81 IANA - Reserved 246/8 Sep 81 IANA - Reserved 247/8 Sep 81 IANA - Reserved 248/8 Sep 81 IANA - Reserved 249/8 Sep 81 IANA - Reserved 250/8 Sep 81 IANA - Reserved 251/8 Sep 81 IANA - Reserved 252/8 Sep 81 IANA - Reserved 253/8 Sep 81 IANA - Reserved 254/8 Sep 81 IANA - Reserved 255/8 Sep 81 IANA - Reserved то есть никто не может использовать эти адреса с сентября 81 года до сих пор. Я, например, эти адреса как и все другие зарезервированные, у себя на входной Cisco заблокировал. Чтобы неповадно было. |
|
|
30.01.2004 13:53:21
Специально для внутренних сетей существуют зарезерезерированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет. То есть эти адреса ВНУТРЕННИЕ.
Зарезервированными являются следующие адреса: От 10.0.0.0 до 10.255.255.255, маска 255.0.0.0 От 172.16.0.0 до 172.31.255.255, маска 255.240.0.0 От 192.168.0.0 до 192.168.255.255, маска 255.255.255.0 Все другие адреса являются ВНЕШНИМИ и могут быть присвоены любому хосту в Internet (кроме адресов от 224.0.0.0 до 255.255.255.255). Подробно зарезервированные адреса смотрят здесь Еще вот посмотрите Посмотреть свой IP адрес можно командой ipconfig /all в Windows или ifconfig -a в любом Unix. |
|
|
29.01.2004 15:27:18
Я вот что думаю. Надо бы нам всем начать контролировать попытки соединения в наши сети по портам 3127-3198 tcp.
Таким образом как только эти уроды-распространители начнут сканить сетки в поиске открытых для себя троянов, а они будут это делать перед началом DOS атаки на SCO, то можно будет засечь их IP адрес. Пусть это даже будет прокси. Но это уже результат. Тем более собрав статистику таких соединений мы точно их вычислим. Тем более есть возможность заработать 250000 долларов Я, например, уже поставил у себя Honeypot. Пусть ломятся. К сожалению, в подозрение у меня попадают хосты которые к 3128 порту коннектятся - HTTP прокси ищут. Вообще активность на ожидаемых портах отсутсвует... Может эти порты разработчикам и не нужны были? Хотя может вирус плохо распотрошили и он сам рассылает куда-то инфу о себе? Но это вряд ли. Кстати по-поводу российского происхождения вируса я сомневаюсь, поскольку рассылка идет генерацией email подстановкой только английских имен. Например у себя вижу: fred, jose, helen, james, peter, maria, brenda, bob, alice, joe, matt, mary, dan, mike. |
|
|
29.01.2004 12:58:45
проблема есть.
если держу два домена для почты @domain1.ru @domain2.ru то есть создано два SMTP сервера, но они в одном Mailbox store Я не могу для одного домена мониторить почту на одном аккаунте, а на другом домене мониторить почту на другом аккаунте. видимо придется два mailbox store создавать. |
|
|
28.01.2004 15:57:51
mail.ru молодцы. Я когда проверял работу своего антивируса пытался послать этот вирус с mail.ru сам себе. Так mail.ru даже письмо не принимает для отправки по SMTP. Говорит: я это слать не буду.
А мой сервак так не умеет. Он сначала принимает, потом проверяет, потом сообщение генерит что вирус найден. Надо сделать как на mail.ru |
|
|
27.01.2004 17:10:03
По умолчанию в Windows 2000, XP отключена учетная запись "Гость", поэтому пользователь, не зарегистрированный компьютере, не сможет получить доступ к общим ресурсам на этом компьютера. Можно включить её, запустив оснастку "Локальные пользователи и группы" (Для версии Professional: правый клик на значке Мой компьютер -> Управление -> Служебные программы или просто набрать lusrmgr.msc в меню Выполнить -> Запуск программы). Далее, открываем папку Пользователи, двойной клик на пользователе "Гость", в появившихся Свойствах убираем галочку напротив "Отключить учетную запись". Теперь запрос на доступ к ресурсу IPC$ при обращении к компьютеру по сети появляться не будет. Хотя правильнее будет завести на машине нужное число локальных пользователей. Причем можно запретить им локальный вход в систему, разрешив только сетевой доступ. Зайдите в Панель управления -> Администрирование -> Локальная политика безопасности -> Параметры безопасности -> Локальные политики -> Hазначение прав пользователя, параметр "Локальный вход в систему" - уберите пользователя из списка или в параметре "Отклонить локальный вход" - внесите.
|
|
|
27.01.2004 16:50:34
Было с утра. Пара компов заразились и забили трафик - вылечили.
Для антивируса Касперского апдейт уже есть на сайте так что Касперский для Exchange тоже не пустил этот вирус. Проблема только, что на почтовый сервак приходят письма зараженные в больших количествах. Жалко трафик. Но весь Интернет вылечить не могу А что вы считаете что Trend Micro Scan Mail лучше чем Касперский или DrWeb для почты? ЗЫ: Лечилка от Symantec |
|
|
25.01.2004 21:53:10
Кстати arp -s фиксирует статически MAC адрес начиная с Windows XP. На w2k она не работает как ожидалось. |
|||
|
25.01.2004 21:38:35
Пример способа поиска сниффера (ping method):
The machine suspected of running the packet sniffer has an IP address 10.0.0.1, and an Ethernet address of 00-40-05-A4-79-32. You are on the same Ethernet segment as the suspect (remember, the Ethernet is used only to communicate locally on a segment, not remotely across the Internet). You change the MAC address slightly, such as 00-40-05-A4-79-33. You transmit an "ICMP Echo Request" (ping) with the IP address and this new MAC address. Remember that NOBODY should see this packet, because as the frame goes down the wire, each Ethernet adapter matches the MAC address with their own MAC address. If none matches, then they ignore the frame. If you see the response, then the suspect wasn't running this "MAC address filter" on the card, and is hence sniffing on the wire. Другие способы описаны Глава 2.5 "How can I detect a packet sniffer?" Может мне перевести это в виде статьи? |
|
|
23.01.2004 23:34:36
Пуск>Программы>Администрирование>Локальная политика безопасности
Или secpol.msc Там Локальные политики>Назначение прав пользователей Там глянь Отказ в доступе к компьютеру из сети Доступ к компьютеру из сети Надо удалить Гостя из "Отказ в доступе к компьютеру из сети" и вообще проверь наличие Гостя |
|
|