Коллеги вот такой вопрос: Значит сканирует мне порты постоянно один крендель причём достаточно агресивно тыщи 3 может перебрать. Значит мне это надоело, набросал я сервер. Алгоритм вкратце такой открываем порты (из сканируемого диапазона) и ждём (в accept) , если подконектится - выводим запись, если шлёт пакеты складываем их у себя для дальнейшего анализа. Но запустив сервер ни одного коннекта не произошло =( ОДнако файр показал попытки подключения по другим портам (не из открытого диапазона) я два раза менял диапазон (всего около 1000 было открыто портов, должен был попасть), однако ничего не поймал. Чего делаю не так? Как то он меня сканирует не коннектясь??? Чайнег в сетях плиз сильно не пинать.
Твой сервер работает на слишком высоком уровне (сокеты), драйвер же фаервола сидит несколькими уровнями ниже (NDIS) и не пропускает syn-пакеты дальше, соответственно, твой сервер их и не видит.
Фиг конечно знает как настроен фаерволл. Но для коннекта нужен 3 way handshake и далеко не все сканеры его производят, например на третьем шаге могут послать RST и никакого handshake-а не будет. А фаервол может на этом диапазоне портов не ловить, так как там слушают. В общем тут нужна слушалка либо на сырых сокетах, либо на winpcap, либо ядерная.
Бесперспективняк. Ну поймал ты пакет, что дальше? Нужно знать, хотя бы, какое приложение "обычно" слушает данный порт, знать протокол, чтобы попробовать заполучить "приватный сплоент" в свои руки. Или, какова цель??
Логично, логично, но для начала ходелось бы всё же поймать пакеты. Потом может быть чего-нибудь из них и выковыряю, дас бог.
artkar Пример можно, но сырые сокеты пойдут только в случае если у тебя Win Server. По winpcap думаю достаточно будет официальной документации, качай и изучай, там всё достаточно просто.
Если сканит NMAP - то там есть очень много видов скана, причем и скрытое сканирование, полуоткрытое, NULL-скан, тут сложновато на высоком уровне будет поймать пакет... onSide - дело говорит, запускай WireShark, переводи ним карточку в нужный режим и лови пакеты, да и вообще по моему много хороших файров могут сами складывать отловленные пакету у себя..... Вот Каспер 2010 точно имеет свой анализатор пакетов, причем неплохой такой - попробуй ним что ли .....
