82 ответов в этой теме

[Cathy]

В дополнение к предыдущему моему вопросу о будущем фаерволе Dr.Web, я бы хотела задать еще один вопрос.
Если у сотрудников Dr.Web есть такая возможность, то не могли бы вы ответить на следующий вопрос:

Будет ли возможность просматривать содержимое журнала фаервола в виде не только IP адресов, но и доменных имен
(переключая при необходимости нужный режим отображения), а также возможность копирования только нужного IP адреса,
либо доменного имени прямо из строки журнала, например, при составлении запрещающего правила.

Если я правильно помню, то в Outpost Pro отображаются в журналах доменные имена, что очень удобно,
но нет возможности переключения на отображение IP адресов. Можно скопировать (выделить/copy/paste)
только целую строку журнала, но нельзя скопировать только нужное доменное имя, поэтому приходится копировать
сначала в блокнот, а уже в нем из всей строки выделять и копировать только доменное имя.
В Sunbelt Firewall предусмотрена возможность переключения отображения доменное имя / IP адрес,
но нет возможности копирования из журнала.

Думаю что было бы очень удобно, если бы возможность отображения доменное имя / IP адрес в журналах,
а также простого копирования нужной части информации из журнала, была бы предусмотрена в фаерволе Dr.Web

[Cathy]

? http://forum.drweb.com/public/style_emoticons/default/smile.png

[basid]

? http://forum.drweb.com/public/style_emoticons/default/smile.png

Определение доменного имени - тормоз, особенно, если имя не существует.
Для IP-адресов отсутствие имени - совсем не редкость. Очень часто - скорее правило, чем исключение.

P.S. Технически, прямая (имя -> IP-адрес) и обратная (IP-адрес -> имя) зоны DNS никак не связаны, а за их обслуживание могут отвечать совершенно разные серверы имён. Даже принадлежащие совершенно разным организациям с очень разными представлениями о правильности и нужности.

[mrbelyash]

? http://forum.drweb.com/public/style_emoticons/default/smile.png

Определение доменного имени - тормоз, особенно, если имя не существует.
Для IP-адресов отсутствие имени - совсем не редкость. Очень часто - скорее правило, чем исключение.

P.S. Технически, прямая (имя -> IP-адрес) и обратная (IP-адрес -> имя) зоны DNS никак не связаны, а за их обслуживание могут отвечать совершенно разные серверы имён. Даже принадлежащие совершенно разным организациям с очень разными представлениями о правильности и нужности.

Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ

[Igor Daniloff]

Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ

И почему же они такие избирательные?

[headliner]

Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ

И почему же они такие избирательные?

Потому что, AVP Tool реально мало чего может удалить в случае активного заражения, а CureIT может.

[basid]

Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ

Если в http-запросах, то это легко - http1.1 требует наличия в запросе строчки "host: имя.веб.сайта". Это сильно упрощает организацию виртуального хостинга и т.п. вещи.
Но в данном случае, человек хочет другой фишки - получить имя по IP-адресу.
Это обратный запрос, и с ними полный ахтунг, т.к. этого имени может не быть, оно может быть вида "555.444.dsl-pool.provider.com" и тому подобная осложняющая жизнь и анализ ситуации фигня.
Вообщем, не факт, что запрашиваемая фича будет "определённо полезна".

[mrbelyash]

Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ

И почему же они такие избирательные?

Об этом история умалчивает....После установки АВ DrWeb стабильный детект Poison все остальное"блокируеющее" доступ к сайту не определяется.


Вопрос

-Когда антивирус будет детектить и приложения запрещающие доступ к определенным сайтам...

-выход в интет....

-редактирование хост файла..

-запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

-запись в [HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="C:\\WINDOWS\\svchost.com \"%1\" %*"


-userinint 

-shell

[basid]

-Когда антивирус будет детектить и приложения запрещающие доступ к определенным сайтам...
-выход в интет....
-редактирование хост файла..
-запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
-запись в [HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="C:\\WINDOWS\\svchost.com \"%1\" %*"
-userinint
-shell

Это, наверное, больше к (долгоожидаемой) Акуле http://forum.drweb.com/public/style_emoticons/default/wink.png

P.S. Актуальнее, пожалуй, зачистка реестра сканером(?) после убийства вируса гардом.

[YVS]

Это, наверное, больше к (долгоожидаемой) Акуле

Или ХИПС-у http://forum.drweb.com/public/style_emoticons/default/wink.png

[mrbelyash]

P.S. Актуальнее, пожалуй, зачистка реестра сканером(?) после убийства вируса гардом.

Гард маст хев свой алгоритм зачистки реестра http://forum.drweb.com/public/style_emoticons/default/sad.png

P.S.

Акула ж вроде как отдельная тулза http://forum.drweb.com/public/style_emoticons/default/blink.png

Сообщение было изменено mrbelyash: 05 Август 2009 - 12:17

[DP]

По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?

[mrbelyash]

По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?

Смысл родительского контроля?

[Cathy]

По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?

Может быть в спорных случаях отображать IP, а в остальных доменное имя ?
В любом случае, в Outpost и Sunbelt возможность отображения доменного имени ведь присутствует...

[Пол Банки]

Вообщем, не факт, что запрашиваемая фича будет "определённо полезна".

опционально - самое то.

По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?

если больше одного, то оставлять ip.

[DP]

По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?

Смысл родительского контроля?

РК блокирует не только имена, но и IP в тяжелых случаях.
но если забанен адрес, то можно купить новый адрес и перенастроить хост на новый адрес (вернее просто вписать адрес в алиасы к старому)

По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?

Может быть в спорных случаях отображать IP, а в остальных доменное имя ?
В любом случае, в Outpost и Sunbelt возможность отображения доменного имени ведь присутствует...

возможно был бы смысл писать адрес в случае если запрос был по адресу, который отрезолвился в IP,
но вычислять адрес по имеющемуся IP - нецелесообразно.

Пример:

...
Обмен пакетами с stmspb.ru [89.111.176.93] по 32 байт:
...
Обмен пакетами с strahovoypolis.ru [89.111.176.93] по 32 байт:
...
И конечно сам 89.111.176.93, который ведёт на http://err.hc.ru/missing/

И какое имя из вышеперечисленных принадлежит этому адресу?
Кстати, там есть куча ссылок которые ведут на другие сайты на том же IP.
Тоесть на этом IP находится vhost с более чем сотней адресов.

[basid]

если больше одного, то оставлять ip.

Совершенно неважно, ноль имён на IP-адресе или больше.
Имя может быть зарегистрировано у хостера или вообще, на каком-нибудь dyndns.
За назначение имён IP-адресам отвечает только провайдер, в сети которого расположен этот IP-адрес.
Никакой связи между именем (прямая зона) и IP-адресом (обратная зона), в общем случае нет и быть не может.
Причём, как правило, именно в "проблемных" случаях никакой связи и не будет. Т.е. в простых ситуациях (всё администрируется надлежащим образом) и проблем не возникает, а в "сложных" - чёрт ногу сломит и простое "IP -> имя" ничем не помогает.

[Пол Банки]

Т.е. в простых ситуациях (всё администрируется надлежащим образом) и проблем не возникает

тогда хоть в таких случаях.
хотя, честно говоря, для меня вопрос "а зачем?" остается открытым...

[basid]

тогда хоть в таких случаях.

Я придерживаюсь той точки зрения, что не надо создавать иллюзию простоты для потенциально (и часто) сложных задач.
Если, конечно, нет надёжно работающего автоматического решения.

[Cathy]

Приведу пример одного из простейших случаев применения этой удобной возможности.

При блокировке соединений со всяким мусором, таким как "счетчики"," topList", и т.п. очень удобно, когда сразу же видишь
доменное имя counter.xxx.ru, toplist.xxx.ru, после чего можно быстро создать запрещающее правило, использовав доменное имя,
либо IP, о сути которого появилось представление после отображения в журнале фаервола доменного имени.
Если же в журнале будет отображаться только IP, то вручную выяснять каким доменным именам соответствуют десятки/сотни IP
будет, мягко говоря, не очень удобно и быстро.