On Mon, 18 Nov 2002, Jakub Ambrożewicz wrote: > On 11/18/02 2:00 PM, Pawel Kowalski wrote: > > > > W tej konkretnej sprawie pewnym mozna byc tylko po dokonaniu wlamania - a > > ja wole do niego niedpuscic (utrudnic je) - wiec reaguje. > > Jakiekolwiek zezwolenie, lub olanie skanowania portow uwazam za ... duze > > nieporozumienie, i zle pojmowane obowiazki. > Ja także, ale nieporozumieniem jest atakowanie z wyprzedzeniem. Owszem, > zablokowanie dostępu hostowi do _mojego_ komputera jest ok, bo to mój > komputer. Poinformowanie, albo zapytanie dlaczego również jest ok. Ale > np. odcięcie dostepu do internetu "bo coś mi się wydaje, że coś chcesz > zrobić" jest na tyle subiektywne i bezpodstawne, że nie może mieć > miejsca.
Nie bo mi sie wydaje - bo mam dowod. Generalnie jeszcze nigdy nie bylem zmuszony do tego, zazwyczaj skutkuje telefon - dana osoba jest na tyle przerazona, iż zrobiła by wszystko byle tylko nie stracić łąćza/nie mieć konsekwensji. > > Otwarcie strony nastepuje na ustalonyum porcie - skan kilku tysiecy portow > > na pewno nie nazwe "przeglądaniem witryny". > Prawo, żeby działało musi mieć dokładnie określone: ile, w jakim czasie > itd. itp. Inaczej skąd będziesz wiedział, że robisz rzecz nielegalną? > A o ile wiem, w polskim prawie takiej definicji spoofowania nie ma. To > tak jakbyś próbował wrzucić do umowy z kientem słowo "netykieta" - co to > jest? wg. której strony i czyjej definicji. Takimi argumentami "na oko" > można się posługiwać tylko w rozmowach prywatnych niestety. To nie jest na oko. Ja WIEM że jesli mam kilka tysiecy połączen z jednego adresu na zakres 1/64000 portow konkretnej maszyny to jest to EWIDENTNY skan. Jest jeszcze wiele innych przesłanek, ktore widać dopiero po obserwacji logow z, dajmy na to, 2/3 dni. Generalnie - normalna osoba/serwer nie nawiazuje kilku tysiecy polaczen w odstepach sec/min z jednego adresu czy tez klasy. > > Zmiania maca - identycznie - automatyczny brak sygnalu. > Zakładasz że wszystkie komputery są zawsze online? W sieci osiedlowej > niestety tak nie ma, więc bez problemu można podszyć się pod kogoś > kto akurat ma wyłączony komputer. Nawet JESLI (co bylo by ciezkie) to dzieki budowie sieci jestem w stanie ograniczyć krag do max 5 osob (pojedynczy segment) Później pozostaje dokladna obserwacja logow, kilka telefonow, porownanie tego co sie uslyszało z tym co widze w logach - i winny jak na talerzu. A jako że każdy podpisał regulamin w którym jak byk jest napisane iż można utracić siec powodując zakłócenia w dostepie innym osobom - a samowolna podmiana ip + mac do tego nalezy - dziekujemy za wspołprace. > > > Nov 18 13:36:16 SRC=195.158.148.27 DST=xxx.xxx.xxx.22 PORT=22 > > > > itd itd az do bcasta > > > > Rozumiem że to też niewinna ciekawość ? > A czego dowodzi? Z kolejnych głupich tłumaczeń (jeśli to tylko > skan, a nie początek bezpośredniego ataku na port): "chciałem > sprawdzić kto ma ssh, bo szukam szelowego konta" Jak udowodnisz > mu że chciał się włamać? Ale tu nie chodzi o głupie tłumaczenia - tu chodzi o zamiar. Ja NIKOMU nie musze nic udowadniac, po prostu adres trafia do DROP. Bo widzisz ... ja nie musze sie domyslać, że może był ciekaw.. a może robi statystyke... a może chciał tylko zajrzec i nic wiecej.. poczekam, bo nic zklego nie robi, dopiero jak sie wlamie to zrobi .... Ja WIEM ze to scanSSH, i wiem co mam z tym zrobic. NA tym polega roznica. -- Kowalski Paweł [EMAIL PROTECTED] | [EMAIL PROTECTED]