onophoudelijke portscans

[madmuppet]

Ik gebruik al tijden naar volle tevredenheid Newsleecher v2.0 Final om data van nieuwsgroepen te downloaden. Werkt perfect, geen probleem.

Ik hoor van een collega echter andere berichten: bij gebruik van Newsleecher treden allerlei problemen op omdat hij onophoudelijk wordt geterroriseerd door allerlei portscans. Zo erg zelfs dat er verbindingsproblemen optreden.
Waar komen die portscans vandaan? Is dat normaal? Ik heb er zelf geen last van, of ben me er in ieder geval niet van bewust.

 

[Sauria]

Heb je een firewall? Die zal de portscans als het goed is wel blokkeren en ook in een log opslaan dat dit gebeurd is. Als je er dan zelf geen last van hebt zou ik me er niet te druk om maken.

 

[madmuppet]

Natuurlijk, een firewall houd het ook allemaal wel tegen, maar daarmee is het probleem natuurlijk nog niet opgelost. Hoe kom je eraan, en hoe kom je er vanaf?

Volgens een rapport blijken in 2 uur tijd meer dan 500 portscans uitgevoerd te zijn (gemiddeld dus iedere 15 seconden één). Dit loopt zodanig uit de hand dat verbindingsproblemen ontstaan. Telefoontje met de provider (HetNet) levert zelf dreigementen op dat er wat aan moet gebeuren, omdat betreffende abonnee dan op de "zwarte lijst" komt te staan.:shocked:

 

[Sauria]

Ja, uit de logs van je firewall kun je wel achterhalen vanaf waar de portscan wordt uitgevoerd. Een mailtje naar de abuse afdeling van het bijbehorende ip adres van de portscan kan al veel doen.

 

[madmuppet]

jah, maar hoe kom ik daarachter? Is waarschijnlijk gewoon een particulier IP

 

[Sauria]

Je kunt een whois query uitvoeren op het ip. Daar krijg je dan inderdaad niet de persoon van terug, maar wel de provider en een e-mail adres waar je dit soort dingen kunt melden. Als je dit niet lukt dan stuur maar een privé bericht met het ip, dan zal ik het abuse adres voor je opzoeken.

 

[killermenace]

- Start
- Uitvoeren
- Intypen: CMD
- Enter drukken
- Intypen: ping -a ipadres (bijvoorbeeld ping -a 192.168.1.1
- Enter drukken

Dan zou je een hostname terug moeten krijgen. Daarin staat veelal de naam van de provider + de hostname van de gebruiker.
Deze stuur je samen met de IP wat jou steeds scant + een kopie van het log naar abuse toe, dan kunnen ze er echt wat mee.. want ze hebben bewijs nodig voordat ze meestal maar iets na willen kijken.

 

[Sauria]

Als het een particulier is die bewust een portscan uitvoert is het niet erg waarschijnlijk dat hij een hostname heeft. Dan zul je alsnog met whois erachter moeten komen.

Het is inderdaad wel belangrijk om ook de firewall logs mee te sturen naar het abuse adres, want ze willen zeker wel bewijs zien zoals killermenace al zegt.

 

[madmuppet]

gaan we eens proberen, bedankt.