Зачем Гуглу сканировать мои порты?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Зачем Гуглу сканировать мои порты? - 2008-08-24 13:40:52.483333
|
|
|
kirimoshi
Сообщений: 22
Оценки: 0
Присоединился: 2008-08-16 23:44:08.143333
|
При использовании ресурсов Гугла, мой файрволл обнаруживает атаку на мой комп( вернее сканирование моих портов) quote:
Address lookup canonical name mg-in-f136.google.com. aliases addresses 209.85.137.136 Domain Whois record Queried whois.internic.net with "dom google.com"… Whois Server Version 2.0 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: GOOGLE.COM Registrar: MARKMONITOR INC. Whois Server: whois.markmonitor.com Referral URL: http://www.markmonitor.com Name Server: NS1.GOOGLE.COM Name Server: NS2.GOOGLE.COM Name Server: NS3.GOOGLE.COM Name Server: NS4.GOOGLE.COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: client..Prohibited ..d Date: 10-apr-2006 Creation Date: 15-sep-1997 Expiration Date: 14-sep-2011 >>> Last .. of whois database: Sun, 24 Aug 2008 01:46:09 EDT <<< NOTICE: The expiration date displayed in this record is the date the registrar's sponsorship of the domain name registration in the registry is currently set to expire. This date does not necessarily reflect the expiration date of the domain name registrant's agreement with the sponsoring registrar. Users may consult the sponsoring registrar's Whois database to view the registrar's reported date of expiration for this registration. TERMS OF USE: You are not authorized to access or query our Whois database through the use of electronic processes that are high-volume and automated except as reasonably necessary to register domain names or modify existing registrations; the Data in VeriSign Global Registry Services' ("VeriSign") Whois database is provided by VeriSign for information purposes only, and to assist persons in obtaining information about or related to a domain name registration record. VeriSign does not guarantee its accuracy. By submitting a Whois query, you agree to abide by the following terms of use: You agree that you may use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via e-mail, telephone, or facsimile; or (2) enable high volume, automated, electronic processes that apply to VeriSign (or its computer systems). The compilation, repackaging, dissemination or other use of this Data is expressly prohibited without the prior written consent of VeriSign. You agree not to use electronic processes that are automated and high-volume to access or query the Whois database except as reasonably necessary to register domain names or modify existing registrations. VeriSign reserves the right to restrict your access to the Whois database in its sole discretion to ensure operational stability. VeriSign may restrict or terminate your access to the Whois database for failure to abide by these terms of use. VeriSign reserves the right to modify these terms at any time. The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars. Queried whois.markmonitor.com with "google.com"… ———————————————————————– MarkMonitor, the Global Leader in Enterprise Brand Protection Domain Management Online Trademark Protection Online Channel Protection AntiPhishing Solutions ———————————————————————– The Data in MarkMonitor.com's WHOIS database is provided by MarkMonitor.com for information purposes, and to assist persons in obtaining information about or related to a domain name registration record. MarkMonitor.com does not guarantee its accuracy. By submitting a WHOIS query, you agree that you will use this Data only for lawful purposes and that, under no circumstances will you use this Data to: (1) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via e-mail (spam); or (2) enable high volume, automated, electronic processes that apply to MarkMonitor.com (or its systems). MarkMonitor.com reserves the right to modify these terms at any time. Registrant: Dns Admin Google Inc. Please contact contact-admin@google.com 1600 Amphitheatre Parkway Mountain View CA 94043 US dns-admin@google.com +1.6502530000 Fax: +1.6506188571 Domain Name: google.com Registrar Name: Markmonitor.com Registrar Whois: whois.markmonitor.com Registrar Homepage: http://www.markmonitor.com Administrative Contact: DNS Admin Google Inc. 1600 Amphitheatre Parkway Mountain View CA 94043 US dns-admin@google.com +1.6506234000 Fax: +1.6506188571 Technical Contact, Zone Contact: DNS Admin Google Inc. 2400 E. Bayshore Pkwy Mountain View CA 94043 US dns-admin@google.com +1.6503300100 Fax: +1.6506181499 Created on…………..: 1997-09-15. Expires on…………..: 2011-09-13. Record last ..d on..: 2008-06-08. Domain servers in listed order: ns1.google.com ns4.google.com ns2.google.com ns3.google.com ———————————————————————– MarkMonitor, the Global Leader in Enterprise Brand Protection Domain Management Online Trademark Protection Online Channel Protection AntiPhishing Solutions ———————————————————————– – Network Whois record Queried whois.arin.net with "209.85.137.136"… OrgName: Google Inc. OrgID: GOGL Address: 1600 Amphitheatre Parkway City: Mountain View StateProv: CA PostalCode: 94043 Country: US NetRange: 209.85.128.0 - 209.85.255.255 CIDR: 209.85.128.0/17 NetName: GOOGLE NetHandle: NET-209-85-128-0-1 Parent: NET-209-0-0-0-0 NetType: Direct Allocation NameServer: NS1.GOOGLE.COM NameServer: NS2.GOOGLE.COM NameServer: NS3.GOOGLE.COM NameServer: NS4.GOOGLE.COM Comment: RegDate: 2006-01-13 ..d: 2006-06-01 OrgTechHandle: ZG39-ARIN OrgTechName: Google Inc. OrgTechPhone: +1-650-318-0200 OrgTechEmail: arin-contact@google.com # ARIN WHOIS database, last ..d 2008-08-23 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database. DNS records nameclasstypedatatime to live mg-in-f136.google.comINA209.85.137.13686400s(1.00:00:00) google.comINMXpreference:10exchange:smtp1.google.com10800s(03:00:00) google.comINMXpreference:10exchange:smtp2.google.com10800s(03:00:00) google.comINMXpreference:10exchange:smtp3.google.com10800s(03:00:00) google.comINMXpreference:10exchange:smtp4.google.com10800s(03:00:00) google.comINA72.14.207.99300s(00:05:00) google.comINA64.233.187.99300s(00:05:00) google.comINA64.233.167.99300s(00:05:00) google.comINTXTv=spf1 include:_netblocks.google.com ~all300s(00:05:00) google.comINNSns1.google.com345600s(4.00:00:00) google.comINNSns2.google.com345600s(4.00:00:00) google.comINNSns3.google.com345600s(4.00:00:00) google.comINNSns4.google.com345600s(4.00:00:00) google.comINSOAserver:ns1.google.comemail:dns-admin.google.comserial:2008082200refresh:7200retry:1800expire:1209600minimum ttl:30086400s(1.00:00:00) 136.137.85.209.in-addr.arpaINPTRmg-in-f136.google.com86400s(1.00:00:00) Traceroute Tracing route to mg-in-f136.google.com [209.85.137.136]… hop rtt rtt rtt ip address fully qualified domain name 1 1 1 0 70.84.211.97 61.d3.5446.static.theplanet.com 2 0 0 0 70.84.160.129 vl1.dsr01.dllstx5.theplanet.com 3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com 4 0 0 0 70.87.253.13 et5-1.ibr04.dllstx3.theplanet.com 5 0 0 0 70.87.253.186 ba.fd.5746.static.theplanet.com 6 0 0 0 66.249.94.94 7 22 22 22 72.14.238.243 8 37 35 37 216.239.48.68 9 43 40 45 209.85.248.217 10 112 114 114 72.14.236.221 11 144 123 122 72.14.232.104 12 129 127 127 209.85.248.248 13 131 130 129 66.249.94.83 14 146 136 128 216.239.43.22 15 134 133 130 209.85.137.136 mg-in-f136.google.com Trace complete Service scan FTP - 21<font color="gray">Error: TimedOut</font> SMTP - 25<font color="gray">Error: TimedOut</font> HTTP - 80 POP3 - 110<font color="gray">Error: TimedOut</font> IMAP - 143<font color="gray">Error: TimedOut</font> – end – URL for this output | return to CentralOps.net, a service of Hexillion Нафига это Гуглу делать и вообще можно ли это считать атакой???
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-24 14:26:17.993333
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
а где лог файрвола чтоб посмотреть что за скан такой?
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-24 14:57:45.696666
|
|
|
kirimoshi
Сообщений: 22
Оценки: 0
Присоединился: 2008-08-16 23:44:08.143333
|
quote:
12:28:09 209.85.137.136 Атакующий разблокирован 12:28:08 209.85.137.91 Атакующий разблокирован 12:28:08 209.85.137.190 Атакующий разблокирован 12:23:09 209.85.137.136 Узел заблокирован на 5 мин. SCAN (31243, 32011, 33291, 34571, 36875, 38411, 40203) 12:23:08 209.85.137.91 Узел заблокирован на 5 мин. SCAN (30219, 30731, 31755, 34827, 37899, 34315, 35595) 12:23:08 209.85.137.190 Узел заблокирован на 5 мин. SCAN (32523, 30475, 32267, 31499, 35083, 33547, 38155) 12:14:44 209.85.137.91 Атакующий разблокирован 12:09:44 209.85.137.91 Узел заблокирован на 5 мин. SCAN (56842, 57098, 57354, 58122, 57866, 58378, 58890) 23.08.2008 11:00:56 209.85.137.190 Атакующий разблокирован 23.08.2008 11:00:55 209.85.137.91 Атакующий разблокирован 23.08.2008 11:00:53 209.85.137.136 Атакующий разблокирован 23.08.2008 11:00:52 209.85.137.93 Атакующий разблокирован 23.08.2008 10:55:56 209.85.137.190 Узел заблокирован на 5 мин. SCAN (43024, 45584, 44560, 44304, 42768, 47632, 50704) 23.08.2008 10:55:55 209.85.137.91 Узел заблокирован на 5 мин. SCAN (36880, 37392, 36368, 37136, 48656, 48912, 48144) 23.08.2008 10:55:53 209.85.137.136 Узел заблокирован на 5 мин. SCAN (41744, 43792, 44816, 43280, 42000, 44048, 45328) 23.08.2008 10:55:52 209.85.137.93 Узел заблокирован на 5 мин. SCAN (40464, 39952, 41232, 39696, 39440, 40208, 42256) 23.08.2008 10:15:57 172.25.252.42 Обнаружена атака, узел не заблокирован ARP_UNWANTED_REPLY 22.08.2008 12:08:08 209.85.137.136 Атакующий разблокирован 22.08.2008 12:08:08 209.85.137.190 Атакующий разблокирован 22.08.2008 12:08:08 209.85.137.93 Атакующий разблокирован 22.08.2008 12:08:08 209.85.137.91 Атакующий разблокирован 22.08.2008 12:03:08 209.85.137.136 Узел заблокирован на 5 мин. SCAN (10253, 12301, 14349, 13837, 11021, 18445, 17165) 22.08.2008 12:03:08 209.85.137.190 Узел заблокирован на 5 мин. SCAN (9997, 13069, 12813, 16653, 12557, 15373, 14861) 22.08.2008 12:03:08 209.85.137.93 Узел заблокирован на 5 мин. SCAN (11533, 12045, 10509, 13325, 15885, 17677, 16141) 22.08.2008 12:03:08 209.85.137.91 Узел заблокирован на 5 мин. SCAN (10765, 11277, 13581, 11789, 17421, 14605, 17933)
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-25 15:50:22.323333
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
занятно, а у тебя в локалке ещё компы не сидят случайно, или ты один в своей сетке? (Обнаружена атака, узел не заблокирован ARP_UNWANTED_REPLY - это очень похоже на arp/rarp поизон) часто ли такая лажа со сканами? проверял / чистил ли arp и dns кэш когда твой Agnitum ругается? есть ли на компе googleбары/гиры итп? ps если есть время - снеси Agnitum, и посмотри что скажет комодо - в частности не пытается ли некий локальный компонент получить доступ в сетку перед началом скана.
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-27 23:17:30.770000
|
|
|
kirimoshi
Сообщений: 22
Оценки: 0
Присоединился: 2008-08-16 23:44:08.143333
|
quote:
занятно, а у тебя в локалке ещё компы не сидят случайно, или ты один в своей сетке? есть ещё quote:
часто ли такая лажа со сканами? каждый раз когда использую например Google maps quote:
проверял / чистил ли arp и dns кэш когда твой Agnitum ругается? да, чистил quote:
есть ли на компе googleбары/гиры итп? нет, нету
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-28 01:21:06.816666
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
quote:
ORIGINAL: kirimoshi каждый раз когда использую например Google maps ааа ну тогда все понятно, Google maps соединяется с замочной скважиной/гууглем на высоких портах выбранных наугад, ежели фаервол каким то образом нарушает/блокирует это соединение то (скорей всего что то с nat'ом), при обратной связи эти попытки принимаются за скан вот результат соединения Google maps с моего компа, так что не парься тебя не ломают :)
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
googleear 6563 XXXX 10u IPv4 76675 TCP localhost.localdomain:40139->fg-in-f118.google.com:http (ESTABLISHED)
googleear 6563 XXXX 11u IPv4 76771 TCP localhost.localdomain:59701->fk-in-f147.google.com:http (ESTABLISHED)
googleear 6563 XXXX 12u IPv4 76677 TCP localhost.localdomain:40141->fg-in-f118.google.com:http (ESTABLISHED)
googleear 6563 XXXX 14u IPv4 76766 TCP localhost.localdomain:42756->ey-in-f136.google.com:http (ESTABLISHED)
просто у тебя или фаервол не так настроен, или у него параноидальные наклонности :D
|
|
|
|
|