Vlákno názorů k článku (Ne)legální port scanning od Miloslav Ponkrác - Mě stačí, když se podívám do logu firewallu,...

Mě stačí, když se podívám do logu firewallu, a vím, kdo mě neustále scanuje, ale nejaktivnější jdou z www.toplist.cz a ad1.mia.cz. Ostaní jsou daleko za nimi.

Premyslel jste, zda se www.toplist.cz a ad1.mia.cz snazili pristupovat na Vas port 80, nebo Vy na jejich? Mate predstavu, k cemu tyto servery slouzi (vetsina ctenaru Lupy asi ano), nebo jste jen ignorant a debil?

Děkuji Vám za jasné vysvětlené Vašeho stanoviska. Poučte mě tedy, proč mi tyto servery chodí na port 137 ?

ad1.mia.cz je DNS round robin jmeno pro dva servery reklamniho systemu NetGravity AdServer. Pro vysvetleni prikladam komunikaci se supportem NetGravity, ktera objasnuje chovani, na nez si stezujete:

NetGravityDNSLookup uses GetHostbyAddr() system function. All administrators' complaints came from IP addresses which were not recognized by DNS servers, ie. they had no DNS record.

In MSDN Library, I found: The gethostbyaddr API issues a NETBIOS Node Status Query if the address is not found in the local hosts file or a domain name server(DNS).

Some programs use the gethostbyaddr() call to resolve an IP address to a host name. The gethostbyaddr() call uses the following sequence:
1. Check local computer host name.
2. Check the HOSTS file for a matching address entry.
3. If a DNS server is configured, query it.
4. If no match is found, send a NetBIOS Adapter Status Request to the IP address being queried, and if it responds with a list of NetBIOS names registered for the adapter, parse it for the computer name.

Software se snazi kvuli cileni reklamy na domeny asynchronne prevadet IP adresy na jmena. Takze to neni portscan, ale "windows standard feature", pokud nemate v poradku reverzni zaznamy.

Moc děkuji za vysvětlení. Už tomu rozumím.

Je to standardní feature, kterou je ale vhodné zakázat.

Též si myslím, že na portu NetBIOSu se automaticky stávají návštěvníci podezřelými.

Každopádně děkuji ještě jednou za opravdu dobré vysvětlení ze strany MIA, velmi si toho vážím a oceňuji to.

Je trochu neco jineho UDP port 137, a TCP port 139. Teprve pokus o pripojeni na 139/tcp znamena, ze si nekdo chce pravdepodobne pripojit nejaky sdileny disk. Ale je fakt, ze dotazem na 137/udp se da zjistit alespon jmeno pocitace a prihlaseneho uzivatele, takze i to muze byt potencialne problem.