Вот по теме нарыл...
Мой сетевой экран постоянно сообщает мне о RST-атаках. За мной кто-то следит? Но я слышал, что такие сообщения могут быть и ложными.
RST — это не обязательно настоящая атака. Существует возможность сброса установленного TCP-подключения с помощью посылки соответствующих TCP- пакетов с набором флагов RST или SYN. Подробно про то, как действительно используют эту уязвимость, можно прочитать на секлабе: сайт . Но это в теории. В реальности чаще всего это ложная тревога.
Если в двух словах, то при серфинге Интернета, согласно TCP-протоколу, ваш компьютер посылает пакеты с какого-нибудь порта (хочу заметить, с любого произвольного порта) на сервер и ожидает ответа. Если ответа нет, соединение закрывается. Но есть одно "но": все пакеты шлются через множество серверов, и один из них, в том числе и тот сайт, к которому вы обращаетесь, может просто протормозить с ответом. В итоге, когда он таки вспомнит про вас, то пришлет пакет с этим самым флагом RST на, увы, уже закрытый порт. А любые пакеты на закрытые порты файрволл (аутпост в частности) воспринимает как попытку сканирования, о чем тебе и сообщает.
Как определить, настоящая это атака, или нет? Посмотреть whois ip, с которого была "атака" (
www.whois-service.ru). Если это обычный сайт вроде yandex.ru или xakep.ru, то имеет место быть именно та ситуация, которую я описал: скорее всего, вы сидите за каким-нибудь тормозным прокси- сервером. Если же это какой-нибудь подозрительный сайт, на котором вы ни разу не были или же ip вообще не имеет домена, тогда бейте тревогу. Вот и все на сегодня, жду ваших вопросов. Все, что не совсем понятно или непонятно вообще. К вашим услугам, как всегда, мой e-mail и форум ресурса SASecurity portal.