В очередной перекур полез в лог файервола. Меня просто немного достали эти постоянные поп-апы про атаки. Наблюдения следующие:
- Самая распрастраненная атака - сканирование портов. Ну, это в общем-то не атака сама по себе. Обычно сканированием предворяются атаки. Но так как у меня сразу после скана атакующий блокируется, то другие типы атак ловятся только когда эта атака делается в слепую на случайный порт.
- Самые популярные популярные для скана порты: ... многие _знающие_ люди наверно уже угадали. 1026, 1027, 1025 (весьма логично, кстати. Ведь на пользовательских портах сидят процессы, которые могут быть не так хорошо защищены, как системные). В порядке убывания популярности. Далее идут _осмысленные_ порты: первый в рейтинге - MS_SQL_S (я вот только не пойму, зачем пытаться сломать sql-сервер, это ж не так-то просто да и откуда он у меня? Он у меня остановлен, потому как там нет ничего и не нужен он мне. Наверно в надежде на то, что юзер его не выключил. Но тут возникает другй косяк: в штатной конфигурации sql-сервер есть только в Windows 2003 Server, а такую ось _люди далекие от IT_ ставят КРАЙНЕ редко). Ну и дальше всё предсказуемо: proxy(3128, 8080), http, ftp.
-Частота атак со временем увеличивается. То есть раньше (когда мой адрес стал статическим) атак было мало и редко. А теперь... я уже подумываю отключить нафиг эти оповещщения, потому как они перестали быть информативными.
-И ещё одно наблюдение. Написание дипломной работы с названием "Система обнаружения атак" весьма полезно отразилась на моих знаниях в этой области (как ни странно). Теперь возникает такой неподдельный и живой интерес по этому поводу.