Кто пытается проникнуть в нашу школьную сеть извне?

Наш школьный ADSL-модем ZYXEL 660HW ee работает третий год, нареканий на него нет, работает стабильно. Оказывается, что он ведет логи своего встроенного файерволла. Просматривая данные логи я заметил, что очень много блокировок попыток доступа в нашу школьную сеть. Вот посмотрите выборку из лога:

 

 #

Time

Message

Source

Destination

Notes

12

12/17/2008 12:17:28

Firewall default policy: UDP (L to W)

10.102.6.195:60096

10.0.1.1:53

ACCESS FORWARD

13

12/17/2008 12:17:21

Firewall default policy: TCP (W to L)

10.102.79.133:2387

10.102.6.208:445

ACCESS BLOCK

14

12/17/2008 12:17:18

Firewall default policy: TCP (W to L)

10.102.79.133:2387

10.102.6.208:445

ACCESS BLOCK

15

12/17/2008 12:17:08

Firewall default policy: UDP (L to W)

10.102.6.194:54606

10.0.1.2:53

ACCESS FORWARD

10.102.6.195 и 10.102.6.194 - Это адреса компьютеров в моей сети. Вот 10.102.79.133 - это неизвестный адрес с которого пытаются проникнуть. Наверно можно узнать школу по данному IP адресу.

Firewall default policy: TCP (W to L) - Означает Политику файерволла и направление W to L (с WAN на LAN, с интернет в локалку). 

ACCESS BLOCK - доступ блокирован. Файерволл запретил доступ. Это хорошо.

И таких попыток много, и с разных IP-адресов.

Вот еще:

24

12/17/2008 12:16:59

Firewall default policy: TCP (W to L)

10.102.19.2:3071

10.102.6.194:445

ACCESS BLOCK

37

12/17/2008 12:16:41

Firewall default policy: TCP (W to L)

10.102.54.162:3785

10.102.6.215:445

ACCESS BLOCK

Всего блокированы 32 попытки в течении 3 минут 25 секунд. Порты разные: 3071, 3785, 1944, много 445. Вот что я вычитал с  http://firewallforum.ru/archive/index.php/t-793.html 

Порт 445: MDS (Microsoft Directory Services) или SMB (Server Message Blocks over IP).
Службы:
1. Служба поддержки TCP/IP NetBIOS. Эта служба есть в папке Администрирование\Службы, её можно отключить, но это ни на что не влияет, в том числе и на закрытие порта 445.
2. Служба NetBT. Более серьёзная служба, её в папке нет. Выводимое имя: "NetBios через TCP/IP" (очень похоже на 1-ю службу).

Для чего вообще нужен этот порт? С этим портом связаны LANMAN service (LocalAreaNetwork Manager) и File&Printer sharing. Проще говоря, через этот порт компьютеры соединяются между собой в локальной сети для использования общих папок и файлов.

Но дело не в этом. Через этот открытый порт в комп пытаются залесть множество вирусов - Sasser, Randon и другие; посылка уродливых пакетов на этот порт "доброжелателем" может приводить к нарушению работы ядра (синему экрану смерти или к 100% загрузке процессора). Интерес к этому порту со стороны хакеров и вирусов можно определить по тому, что этот порт сканируется чаще, чем другие порты вместе взятые.