From: Deniz Akkus Kanca (deniz@arayan.com)
Date: Sat 18 Jan 2003 - 12:33:15 EET
Selam,
Sırf merak üzerine, aşağıdaki incelemeyi yaptım.
Internet bağlantısı - Sabit IP. Iptables ile güvenlik sağlanıyor. Ağdan
dışarıya verilen *hiç bir* hizmet yok. (web sunucusu, DNS sunucusu, posta
sunucusu vb gibi dışarıya açık hiç bir hizmet bu IP bloklarından
sağlanmıyor).
Beklenti, Internet'te özellikle sessiz kalmayı tercih eden, dışarıya verdiği
hiç bir hizmet bulunmayan bu ağ bloğunda güvenlik duvarına takılan çok az
sayıda paket olması idi.
12 Ocak 2003 - 17 Ocak 2003 tarihleri arasını kapsayan log'lara bakıldığında:
3,246 adet paketin ağa girişi engellenmiş.
Gelen paketler, 146 farklı protokol (veya destination port) denemiş.
Dağılımları:
568 defa auth (ident'in parçası)
323 defa netbios-ns
316 defa DNS
76 defa ms-sql
45 defa HTTP
39 defa traceroute
11 defa FTP
9 defa HTTPS
9 defa proxy (port 1080)
8 defa SMTP
6 defa Portmapper
4 defa POP
2 defa printer (port 515)
2 defa squid proxy (port 3128)
2 defa web cache (port 8080)
1 defa netbios-ssn
1 defa snmp
1 defa ingreslock
Geri kalanı herhangi bir servise ait olmayan yüksek sayılı port'lar. Büyük
ihtimal ile çeşitli worm/trojan vb bulaşıklığı ile bu port'larını açan
makinaları arıyorlar.
Ağa girişi engellenen paketler, 507 adet farklı IP'den gelmiş.
Bu IP'ler toplam 52 adet farklı ülkeden gelmiş.
Bu IP'lerin coğrafi dağılımı şöyle:
165 adet ABD
37 Adet Türkiye
36 adet Çin
24 adet Almanya
22 adet Kore
18 adet Taiwan
18 adet Meksika
17 adet Japonya
16 adet Kanada
16 adet İtalya
13 adet Brezilya
10 adet İngiltere
8 adet Polonya
7 adet Fransa
7 adet Hindistan
6 adet Tayland
6 adet Avusturya
6 adet İspanya
5 adet Hong Kong
geri kalanı muhtelif diğer ülkelerden.
Kıssadan hisse, Internet gözü kapalı bağlanılabilecek bir şey değil. Herhangi
bir şekilde varlığınızı dış dünyaya duyurmak için herhangi bir şey yapmasanız
dahi, birileri kapınızı çalıyor.
IP no'larındaki Türkiye ağırlığının, Türkiye'de hacker veya virüslü makina
bolluğu yerine, IP bloğumuzun Türkiye'de yer almasından dolayı "yakınlarda"
keklik avlamaya çıkılmasına bağlıyorum/bağlamak istiyorum.
Bu arada reverse IP isimlerine baktığım zaman, herhangi bir kaydı olan az
sayıda numaranın neredeyse hepsinin dial-up olduğunu gözlemledim. Bu gidişle
gelecekte ISP'lerin abone bloklarına giderek daha fazla kısıtlama
getireceklerini ve bunun da Internet'in tüketici/üretici diye daha fazla
ayrışmasına yol açacağını tahmin ediyorum. Üzücü bir durum, fakat gidişat onu
gösteriyor.
Esen kalın,
Deniz
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------