Будущий фаервол Dr.web
#1
Отправлено 26 Июль 2009 - 13:31
Если у сотрудников Dr.Web есть такая возможность, то не могли бы вы ответить на следующий вопрос:
Будет ли возможность просматривать содержимое журнала фаервола в виде не только IP адресов, но и доменных имен
(переключая при необходимости нужный режим отображения), а также возможность копирования только нужного IP адреса,
либо доменного имени прямо из строки журнала, например, при составлении запрещающего правила.
Если я правильно помню, то в Outpost Pro отображаются в журналах доменные имена, что очень удобно,
но нет возможности переключения на отображение IP адресов. Можно скопировать (выделить/copy/paste)
только целую строку журнала, но нельзя скопировать только нужное доменное имя, поэтому приходится копировать
сначала в блокнот, а уже в нем из всей строки выделять и копировать только доменное имя.
В Sunbelt Firewall предусмотрена возможность переключения отображения доменное имя / IP адрес,
но нет возможности копирования из журнала.
Думаю что было бы очень удобно, если бы возможность отображения доменное имя / IP адрес в журналах,
а также простого копирования нужной части информации из журнала, была бы предусмотрена в фаерволе Dr.Web
#3
Отправлено 05 Август 2009 - 11:38
Определение доменного имени - тормоз, особенно, если имя не существует.? http://forum.drweb.com/public/style_emoticons/default/smile.png
Для IP-адресов отсутствие имени - совсем не редкость. Очень часто - скорее правило, чем исключение.
P.S. Технически, прямая (имя -> IP-адрес) и обратная (IP-адрес -> имя) зоны DNS никак не связаны, а за их обслуживание могут отвечать совершенно разные серверы имён. Даже принадлежащие совершенно разным организациям с очень разными представлениями о правильности и нужности.
#4
Отправлено 05 Август 2009 - 11:50
Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГОпределение доменного имени - тормоз, особенно, если имя не существует.? http://forum.drweb.com/public/style_emoticons/default/smile.png
Для IP-адресов отсутствие имени - совсем не редкость. Очень часто - скорее правило, чем исключение.
P.S. Технически, прямая (имя -> IP-адрес) и обратная (IP-адрес -> имя) зоны DNS никак не связаны, а за их обслуживание могут отвечать совершенно разные серверы имён. Даже принадлежащие совершенно разным организациям с очень разными представлениями о правильности и нужности.
#5
Отправлено 05 Август 2009 - 11:52
Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ
И почему же они такие избирательные?
#6
Отправлено 05 Август 2009 - 11:57
Потому что, AVP Tool реально мало чего может удалить в случае активного заражения, а CureIT может.Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ
И почему же они такие избирательные?
#7
Отправлено 05 Август 2009 - 11:58
Если в http-запросах, то это легко - http1.1 требует наличия в запросе строчки "host: имя.веб.сайта". Это сильно упрощает организацию виртуального хостинга и т.п. вещи.Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ
Но в данном случае, человек хочет другой фишки - получить имя по IP-адресу.
Это обратный запрос, и с ними полный ахтунг, т.к. этого имени может не быть, оно может быть вида "555.444.dsl-pool.provider.com" и тому подобная осложняющая жизнь и анализ ситуации фигня.
Вообщем, не факт, что запрашиваемая фича будет "определённо полезна".
#8
Отправлено 05 Август 2009 - 12:00
И почему же они такие избирательные?Но-но...трояны спокойно перехватывают обращение к сайту drweb (кстати почему то именно drweb..на каспера заходит спокойно http://forum.drweb.com/public/style_emoticons/default/sad.png )...В интернет кафешках насмотрелся....Полный АхтунГ
Об этом история умалчивает....После установки АВ DrWeb стабильный детект Poison все остальное"блокируеющее" доступ к сайту не определяется.
Вопрос
-Когда антивирус будет детектить и приложения запрещающие доступ к определенным сайтам...
-выход в интет....
-редактирование хост файла..
-запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
-запись в [HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="C:\\WINDOWS\\svchost.com \"%1\" %*"
-userinint
-shell
#9
Отправлено 05 Август 2009 - 12:14
Это, наверное, больше к (долгоожидаемой) Акуле http://forum.drweb.com/public/style_emoticons/default/wink.png-Когда антивирус будет детектить и приложения запрещающие доступ к определенным сайтам...
-выход в интет....
-редактирование хост файла..
-запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
-запись в [HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="C:\\WINDOWS\\svchost.com \"%1\" %*"
-userinint
-shell
P.S. Актуальнее, пожалуй, зачистка реестра сканером(?) после убийства вируса гардом.
#10
Отправлено 05 Август 2009 - 12:16
Или ХИПС-у http://forum.drweb.com/public/style_emoticons/default/wink.pngЭто, наверное, больше к (долгоожидаемой) Акуле
#11
Отправлено 05 Август 2009 - 12:16
Гард маст хев свой алгоритм зачистки реестра http://forum.drweb.com/public/style_emoticons/default/sad.pngP.S. Актуальнее, пожалуй, зачистка реестра сканером(?) после убийства вируса гардом.
P.S.
Акула ж вроде как отдельная тулза http://forum.drweb.com/public/style_emoticons/default/blink.png
Сообщение было изменено mrbelyash: 05 Август 2009 - 12:17
#12
Отправлено 05 Август 2009 - 12:29
Dmitry [TestLab]
#13
Отправлено 05 Август 2009 - 12:31
По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?
Смысл родительского контроля?
#14
Отправлено 05 Август 2009 - 12:45
Может быть в спорных случаях отображать IP, а в остальных доменное имя ?По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?
В любом случае, в Outpost и Sunbelt возможность отображения доменного имени ведь присутствует...
#15
Отправлено 05 Август 2009 - 12:47
опционально - самое то.Вообщем, не факт, что запрашиваемая фича будет "определённо полезна".
если больше одного, то оставлять ip.По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?
#16
Отправлено 05 Август 2009 - 13:01
РК блокирует не только имена, но и IP в тяжелых случаях.Смысл родительского контроля?По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?
но если забанен адрес, то можно купить новый адрес и перенастроить хост на новый адрес (вернее просто вписать адрес в алиасы к старому)
возможно был бы смысл писать адрес в случае если запрос был по адресу, который отрезолвился в IP,Может быть в спорных случаях отображать IP, а в остальных доменное имя ?По теме: на одном ip может находиться безлимитное количество адресов. какой из этих адресов предлагается писать?
В любом случае, в Outpost и Sunbelt возможность отображения доменного имени ведь присутствует...
но вычислять адрес по имеющемуся IP - нецелесообразно.
Пример:
И какое имя из вышеперечисленных принадлежит этому адресу?...
Обмен пакетами с stmspb.ru [89.111.176.93] по 32 байт:
...
Обмен пакетами с strahovoypolis.ru [89.111.176.93] по 32 байт:
...
И конечно сам 89.111.176.93, который ведёт на http://err.hc.ru/missing/
Кстати, там есть куча ссылок которые ведут на другие сайты на том же IP.
Тоесть на этом IP находится vhost с более чем сотней адресов.
Dmitry [TestLab]
#17
Отправлено 05 Август 2009 - 13:11
Совершенно неважно, ноль имён на IP-адресе или больше.если больше одного, то оставлять ip.
Имя может быть зарегистрировано у хостера или вообще, на каком-нибудь dyndns.
За назначение имён IP-адресам отвечает только провайдер, в сети которого расположен этот IP-адрес.
Никакой связи между именем (прямая зона) и IP-адресом (обратная зона), в общем случае нет и быть не может.
Причём, как правило, именно в "проблемных" случаях никакой связи и не будет. Т.е. в простых ситуациях (всё администрируется надлежащим образом) и проблем не возникает, а в "сложных" - чёрт ногу сломит и простое "IP -> имя" ничем не помогает.
#18
Отправлено 05 Август 2009 - 13:29
тогда хоть в таких случаях.Т.е. в простых ситуациях (всё администрируется надлежащим образом) и проблем не возникает
хотя, честно говоря, для меня вопрос "а зачем?" остается открытым...
#19
Отправлено 05 Август 2009 - 13:44
Я придерживаюсь той точки зрения, что не надо создавать иллюзию простоты для потенциально (и часто) сложных задач.тогда хоть в таких случаях.
Если, конечно, нет надёжно работающего автоматического решения.
#20
Отправлено 05 Август 2009 - 14:23
При блокировке соединений со всяким мусором, таким как "счетчики"," topList", и т.п. очень удобно, когда сразу же видишь
доменное имя counter.xxx.ru, toplist.xxx.ru, после чего можно быстро создать запрещающее правило, использовав доменное имя,
либо IP, о сути которого появилось представление после отображения в журнале фаервола доменного имени.
Если же в журнале будет отображаться только IP, то вручную выяснять каким доменным именам соответствуют десятки/сотни IP
будет, мягко говоря, не очень удобно и быстро.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых