Зачем Гуглу сканировать мои порты?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Зачем Гуглу сканировать мои порты? - 2008-08-24 13:40:52.483333
|
|
|
kirimoshi
Сообщений: 22
Оценки: 0
Присоединился: 2008-08-16 23:44:08.143333
|
При использовании ресурсов Гугла, мой файрволл обнаруживает атаку на мой комп( вернее сканирование моих портов) quote:
Address lookup canonical name mg-in-f136.google.com. aliases
addresses 209.85.137.136
Domain Whois record Queried whois.internic.net with "dom google.com"…
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: GOOGLE.COM
Registrar: MARKMONITOR INC.
Whois Server: whois.markmonitor.com
Referral URL: http://www.markmonitor.com
Name Server: NS1.GOOGLE.COM
Name Server: NS2.GOOGLE.COM
Name Server: NS3.GOOGLE.COM
Name Server: NS4.GOOGLE.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Status: client..Prohibited
..d Date: 10-apr-2006
Creation Date: 15-sep-1997
Expiration Date: 14-sep-2011
>>> Last .. of whois database: Sun, 24 Aug 2008 01:46:09 EDT <<<
NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.
TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars. Queried whois.markmonitor.com with "google.com"…
———————————————————————–
MarkMonitor, the Global Leader in Enterprise Brand Protection
Domain Management
Online Trademark Protection
Online Channel Protection
AntiPhishing Solutions
———————————————————————–
The Data in MarkMonitor.com's WHOIS database is provided by MarkMonitor.com
for information purposes, and to assist persons in obtaining information
about or related to a domain name registration record. MarkMonitor.com
does not guarantee its accuracy. By submitting a WHOIS query, you agree
that you will use this Data only for lawful purposes and that, under no
circumstances will you use this Data to: (1) allow, enable, or otherwise
support the transmission of mass unsolicited, commercial advertising or
solicitations via e-mail (spam); or (2) enable high volume, automated,
electronic processes that apply to MarkMonitor.com (or its systems).
MarkMonitor.com reserves the right to modify these terms at any time.
Registrant:
Dns Admin
Google Inc.
Please contact contact-admin@google.com 1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6502530000 Fax: +1.6506188571
Domain Name: google.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
DNS Admin
Google Inc.
1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6506234000 Fax: +1.6506188571
Technical Contact, Zone Contact:
DNS Admin
Google Inc.
2400 E. Bayshore Pkwy
Mountain View CA 94043
US
dns-admin@google.com +1.6503300100 Fax: +1.6506181499
Created on…………..: 1997-09-15.
Expires on…………..: 2011-09-13.
Record last ..d on..: 2008-06-08.
Domain servers in listed order:
ns1.google.com
ns4.google.com
ns2.google.com
ns3.google.com
———————————————————————–
MarkMonitor, the Global Leader in Enterprise Brand Protection
Domain Management
Online Trademark Protection
Online Channel Protection
AntiPhishing Solutions
———————————————————————–
–
Network Whois record Queried whois.arin.net with "209.85.137.136"…
OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
NetRange: 209.85.128.0 - 209.85.255.255
CIDR: 209.85.128.0/17
NetName: GOOGLE
NetHandle: NET-209-85-128-0-1
Parent: NET-209-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.GOOGLE.COM
NameServer: NS2.GOOGLE.COM
NameServer: NS3.GOOGLE.COM
NameServer: NS4.GOOGLE.COM
Comment:
RegDate: 2006-01-13
..d: 2006-06-01
OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc.
OrgTechPhone: +1-650-318-0200
OrgTechEmail: arin-contact@google.com
# ARIN WHOIS database, last ..d 2008-08-23 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
DNS records nameclasstypedatatime to live mg-in-f136.google.comINA209.85.137.13686400s(1.00:00:00) google.comINMXpreference:10exchange:smtp1.google.com10800s(03:00:00) google.comINMXpreference:10exchange:smtp2.google.com10800s(03:00:00) google.comINMXpreference:10exchange:smtp3.google.com10800s(03:00:00) google.comINMXpreference:10exchange:smtp4.google.com10800s(03:00:00) google.comINA72.14.207.99300s(00:05:00) google.comINA64.233.187.99300s(00:05:00) google.comINA64.233.167.99300s(00:05:00) google.comINTXTv=spf1 include:_netblocks.google.com ~all300s(00:05:00) google.comINNSns1.google.com345600s(4.00:00:00) google.comINNSns2.google.com345600s(4.00:00:00) google.comINNSns3.google.com345600s(4.00:00:00) google.comINNSns4.google.com345600s(4.00:00:00) google.comINSOAserver:ns1.google.comemail:dns-admin.google.comserial:2008082200refresh:7200retry:1800expire:1209600minimum ttl:30086400s(1.00:00:00) 136.137.85.209.in-addr.arpaINPTRmg-in-f136.google.com86400s(1.00:00:00) Traceroute Tracing route to mg-in-f136.google.com [209.85.137.136]…
hop rtt rtt rtt ip address fully qualified domain name 1 1 1 0 70.84.211.97 61.d3.5446.static.theplanet.com 2 0 0 0 70.84.160.129 vl1.dsr01.dllstx5.theplanet.com 3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com 4 0 0 0 70.87.253.13 et5-1.ibr04.dllstx3.theplanet.com 5 0 0 0 70.87.253.186 ba.fd.5746.static.theplanet.com 6 0 0 0 66.249.94.94
7 22 22 22 72.14.238.243
8 37 35 37 216.239.48.68
9 43 40 45 209.85.248.217
10 112 114 114 72.14.236.221
11 144 123 122 72.14.232.104
12 129 127 127 209.85.248.248
13 131 130 129 66.249.94.83
14 146 136 128 216.239.43.22
15 134 133 130 209.85.137.136 mg-in-f136.google.com Trace complete
Service scan FTP - 21<font color="gray">Error: TimedOut</font> SMTP - 25<font color="gray">Error: TimedOut</font> HTTP - 80
POP3 - 110<font color="gray">Error: TimedOut</font> IMAP - 143<font color="gray">Error: TimedOut</font> – end –
URL for this output | return to CentralOps.net, a service of Hexillion
Нафига это Гуглу делать и вообще можно ли это считать атакой???
|
|
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-24 14:26:17.993333
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
а где лог файрвола чтоб посмотреть что за скан такой?
|
|
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-24 14:57:45.696666
|
|
|
kirimoshi
Сообщений: 22
Оценки: 0
Присоединился: 2008-08-16 23:44:08.143333
|
quote:
12:28:09 209.85.137.136 Атакующий разблокирован
12:28:08 209.85.137.91 Атакующий разблокирован
12:28:08 209.85.137.190 Атакующий разблокирован
12:23:09 209.85.137.136 Узел заблокирован на 5 мин. SCAN (31243, 32011, 33291, 34571, 36875, 38411, 40203)
12:23:08 209.85.137.91 Узел заблокирован на 5 мин. SCAN (30219, 30731, 31755, 34827, 37899, 34315, 35595)
12:23:08 209.85.137.190 Узел заблокирован на 5 мин. SCAN (32523, 30475, 32267, 31499, 35083, 33547, 38155)
12:14:44 209.85.137.91 Атакующий разблокирован
12:09:44 209.85.137.91 Узел заблокирован на 5 мин. SCAN (56842, 57098, 57354, 58122, 57866, 58378, 58890)
23.08.2008 11:00:56 209.85.137.190 Атакующий разблокирован
23.08.2008 11:00:55 209.85.137.91 Атакующий разблокирован
23.08.2008 11:00:53 209.85.137.136 Атакующий разблокирован
23.08.2008 11:00:52 209.85.137.93 Атакующий разблокирован
23.08.2008 10:55:56 209.85.137.190 Узел заблокирован на 5 мин. SCAN (43024, 45584, 44560, 44304, 42768, 47632, 50704)
23.08.2008 10:55:55 209.85.137.91 Узел заблокирован на 5 мин. SCAN (36880, 37392, 36368, 37136, 48656, 48912, 48144)
23.08.2008 10:55:53 209.85.137.136 Узел заблокирован на 5 мин. SCAN (41744, 43792, 44816, 43280, 42000, 44048, 45328)
23.08.2008 10:55:52 209.85.137.93 Узел заблокирован на 5 мин. SCAN (40464, 39952, 41232, 39696, 39440, 40208, 42256)
23.08.2008 10:15:57 172.25.252.42 Обнаружена атака, узел не заблокирован ARP_UNWANTED_REPLY
22.08.2008 12:08:08 209.85.137.136 Атакующий разблокирован
22.08.2008 12:08:08 209.85.137.190 Атакующий разблокирован
22.08.2008 12:08:08 209.85.137.93 Атакующий разблокирован
22.08.2008 12:08:08 209.85.137.91 Атакующий разблокирован
22.08.2008 12:03:08 209.85.137.136 Узел заблокирован на 5 мин. SCAN (10253, 12301, 14349, 13837, 11021, 18445, 17165)
22.08.2008 12:03:08 209.85.137.190 Узел заблокирован на 5 мин. SCAN (9997, 13069, 12813, 16653, 12557, 15373, 14861)
22.08.2008 12:03:08 209.85.137.93 Узел заблокирован на 5 мин. SCAN (11533, 12045, 10509, 13325, 15885, 17677, 16141)
22.08.2008 12:03:08 209.85.137.91 Узел заблокирован на 5 мин. SCAN (10765, 11277, 13581, 11789, 17421, 14605, 17933)
|
|
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-25 15:50:22.323333
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
занятно, а у тебя в локалке ещё компы не сидят случайно, или ты один в своей сетке?
(Обнаружена атака, узел не заблокирован ARP_UNWANTED_REPLY - это очень похоже на arp/rarp поизон)
часто ли такая лажа со сканами?
проверял / чистил ли arp и dns кэш когда твой Agnitum ругается?
есть ли на компе googleбары/гиры итп?
ps если есть время - снеси Agnitum, и посмотри что скажет комодо - в частности не пытается ли некий локальный компонент получить доступ в сетку перед началом скана.
|
|
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-27 23:17:30.770000
|
|
|
kirimoshi
Сообщений: 22
Оценки: 0
Присоединился: 2008-08-16 23:44:08.143333
|
quote:
занятно, а у тебя в локалке ещё компы не сидят случайно, или ты один в своей сетке?
есть ещё
quote:
часто ли такая лажа со сканами?
каждый раз когда использую например Google maps
quote:
проверял / чистил ли arp и dns кэш когда твой Agnitum ругается?
да, чистил
quote:
есть ли на компе googleбары/гиры итп?
нет, нету
|
|
|
|
|
RE: Зачем Гуглу сканировать мои порты? - 2008-08-28 01:21:06.816666
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
quote:
ORIGINAL: kirimoshi
каждый раз когда использую например Google maps
ааа ну тогда все понятно, Google maps соединяется с замочной скважиной/гууглем на высоких портах выбранных наугад, ежели фаервол каким то образом нарушает/блокирует это соединение то (скорей всего что то с nat'ом), при обратной связи эти попытки принимаются за скан
вот результат соединения Google maps с моего компа, так что не парься тебя не ломают :)
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
googleear 6563 XXXX 10u IPv4 76675 TCP localhost.localdomain:40139->fg-in-f118.google.com:http (ESTABLISHED)
googleear 6563 XXXX 11u IPv4 76771 TCP localhost.localdomain:59701->fk-in-f147.google.com:http (ESTABLISHED)
googleear 6563 XXXX 12u IPv4 76677 TCP localhost.localdomain:40141->fg-in-f118.google.com:http (ESTABLISHED)
googleear 6563 XXXX 14u IPv4 76766 TCP localhost.localdomain:42756->ey-in-f136.google.com:http (ESTABLISHED)
просто у тебя или фаервол не так настроен, или у него параноидальные наклонности :D
|
|
|
|
|
|
