Сканирование удаленных систем

Вид материалаРассказ

Содержание


ACK - этот флаг используется для подтверждения успешного принятия пакета.RST
1 TCP Connect scan
7 TCP Windows scan
Евгений Касперский www.kaspersky.ru(ЕК)
ЗАРАЗА, nnov.ru(З)
Алексей Лукацкий, www.infosec.ru(АЛ)
Дмитрий Леонов, www.bugtraq.ru(ДЛ)
Сотский, Руководитель СБ ЦИС МТ РФ(ГС)
Илья Медведовский (Digital Security), www.dsec.ru(ИМ)
Дмитрий Максимов, www.ptsecurity.ru(ДМ)
С. Гордейчик ec.ru/edu/(СГ)
Crime-research.org (CR)
Вопрос N2: Как вы считаете, сканирование портов может быть причиной возбуждения уголовного дела? Каковы перспективы такого дела?
Антон Носик (АН) www.rambler.ru(АН)
Zenon N.S.P., www.zenon.net
Условия предоставления услуг
Андрей Гасов, ЗАО "Элвис Телеком"
Мирон М. Рудник, www.MSM.ru
Денис В. Губанов, ЗАО "Диджитал Нетворк"
Подобный материал:
Сканирование удаленных систем

Прежде чем я расскажу о методах сканирования, хочу рассказать о механизме установления TCP-соединения. Выглядит это таким образом: компьютер, который устанавливает соединение (1) и компьютер, к которому подключаются (2) обмениваются TCP-пакетам.
(1) посылает флаг SYN
(2) если порт открыт, то посылает SYN и ACK, если закрыт или не активен, разрывает соединение с помощью флага RST
(1) для подтверждения установки соедиинения посылает ACK

Опишу флаги подробнее:
SYN - флаг или поле, значение которого равно 1. Пакет с таким флагом начинает соединение.
ACK - этот флаг используется для подтверждения успешного принятия пакета.
RST - означает сброс соединения

Все, теперь соединение можно считать установленным. Эта процедура называется рукопожатием (handshake). С рукопожатия начинается каждый сеанс обмена данными между компьютерами. Кстати, хочу рассказать еще о состояниях портов: closed, listening, establishing. Closed - тут все понятно, порт закрыт. Listening - порт открыт, находится в состоянии прослушивания. Establishing - соединение с портом установлено. Правда еще есть несколько других состояний, но в данной статье они не играют роли.

Теперь перейдем к самим метода сканирования. Сканировать будем с помощью утилиты nmap (insecure.org), которую вы можете найти в разделе "Cофт".

1 TCP Connect scan
Если удаленный компьютер сканируется этим методом, то для определения доступности порта производится рукопожатие между компьютерами, а потом отключение.
Хочу заметить, что данный тип сканирования очень легко вычисляется и, соотвественно, твой ИП попадает в логи сканируемой системы.

Использование: nmap IP или nmap -sT IP
Port State Service
22/tcp open ssh
80/tcp open http

2 TCP SYN scan
Отличие данного типа сканирования заключается в том, что фаза рукопожатия обрывается на половине. То есть если на порт назначения отправляется TCP-пакет с флагом SYN, а в ответе приходят флаги SYN и ACK, то это означает, что данный порт открыт и прослушивается (listening). Если же в ответе присутствуют флаги RST и ACK, то это значит, что порт либо закрыт, либо находится под файрволом. Этот тип сканирования определяется только системой IDS (Intruder Detection System).

Использование: nmap -sS IP
Port State Service
22/tcp open ssh
80/tcp open http
110/tcp open pop-3

3 TCP Fin scan
Это сканирование хоста пакетами с установленным флагом FIN. Этот флаг отправляется в пакете в случае закрытия соединения. В соответствии с правилами TCP-соединений сканируемый компьютер должен ответить пакетом с флагом RST для всех закрытых портов. Этот тип сканирования следует применять только в системах типа unix, поскольку в данном сканировании присутствует одна особенность, которая заключается в том, что стек TCP/IP юникса действует в соответствии RFC 793, а стек винды действует от балды (извиняюсь за рифму). Если этим типом сканироват вин-систему, то в результате вы получите некоторое число ложно открытых портов. Данный тип сканирование без специальной настройки IDS определить трудно.

Использование: nmap -sF IP
Port State Service
22/tcp open ssh
80/tcp open http
1025/tcp open listen
3306/tcp open mysql

4 TCP Xmas Tree scan
В переводе это означает "сканирование методом новогодней елки". На сканируемые порты посылаются TCP-пакеты с установленными флагами FIN, URG, PUSH. Эти флаги сообщают о том, что пакет должен быть отправлен немедленно, не вставая в очередь пакетов. В ответ компьютер отправляет пакет с флагом RST для всех закрытых портов. Этот тип сканирования используется для определения портов, которые прикрыты файрволом.

Использование: nmap -sX IP
All 1276 scanned ports on IP are: filtered

5 TCP Null scan
Метод заключается в следующем: на сканируемый компьютер посылаются пустые TCP-пакеты, то есть пакеты с отключенными флагами. Но в ответ компьютер все-таки посылает тебе пакет с флагом RST для всех закрытых портов. Сканирование почти не определяется.

Использование: nmap -sN IP
Port State Service
25/tcp open smtp
80/tcp open http
443/tcp open https

6 TCP Ack scan
Сканирование пакетами с флагом ACK. Обычный стек TCP/IP должен ответит флагом RST для всех закрытых портов. Этот тип сканирование полезен при определении и проходе файрвола, поскольку позволяет выявит критерии, в соответствии с которыми производится фильтрация пакетов. Также такой тип пакетов удобно использовать для создание соединения сквозь уже сломанный файрвол, посколько в пакетах
флагом ACK можно передавать на компьютер свои данные, то есть управлять удаленной системой. И при этом файрвол ничего не заметит, так как в большинстве программ фильтрация пакетов с флагом ACK отключена по умолчанию. Естественно, что определяется трудно.

Использование: для использования понадобится программка hping,
Hping IP -S -p [порт] -f

7 TCP Windows scan
Сканирование размером окна. В TCP/IP есть такой параметр, как размер окна, который определяет то количество пакетов, которое может получить система за один раз. Метод, основанный на этом параметре, позволяет выявить порты на компе и определить фильтруются они или нет. Определить этот тип сканирования трудно.

Использование: hping IP -S -p [порт] -w

8 TCP RPC scan
Сканирование RPC портов. Если кто не знает, RPC это специальная сетевая служба, которая используется для вызова удаленных процедур. Этот метод сканирования применим только для юникс систем. В юниксе службе RPC отведен диапазон портов (31000-32000), связанных с определенными сервисами, входящими в службу RPC). Сканирование определить легко.


Использование: nmap -sS -R IP
Port State Service
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
443/tcp open https

Теперь, в связи с последним инцидентом, вызванным Яндексом, когда кто-то из этой компании сканировал компы, предположительно занимающиеся рассылкой спама, хочу привести интервью. Это интервью состоит из некоторых вопросов, на которые отвечали представители компаний, занимающихся проблемами компьютерной безопасности.

Сканирование портов: За и Против
(by securitylab.ru)

Сканирование портов: За и Против
В связи с недавним инцидентом по поводу массового сканирования портов на подозрительных системах почтовой службой Yandex.ru в целях борьбы со спамом, мы опросили ведущих экспертов в области информационной безопасности, юристов и крупных провайдеров, чтобы узнать их мнение об этой проблеме. На наши вопросы отвечали Е. Касперский, А. Лукацкий, А. Носик, Д. Леонов, С. Гордейчик, Г. Сотский, ЗАРАЗА, представители компаний Positive Technologies, Digital Security, Crime-research, Zenon N.S.P., "Диджитал Нетворк", MSM, “Элвис Телеком”, ЗАО "Демос-Интернет"


Итак, первый вопрос:
Является ли сканирование портов инцидентом безопасности? Как должен администратор безопасности реагировать на попытку сканирования портов? Каков, по-вашему, риск подобного инцидента?


Евгений Касперский www.kaspersky.ru(ЕК):
Смотря что вкладывается в понятие "инцидент безопасности". Хотелось бы услышать точное определение. Администратор, по нашему мнению, в современных условиях - вообще не должен реагировать на подобные вещи. Его задача - защита системы. Можно конечно не следить за обновлениями продуктов, не ставить патчи, не консультировать пользователей, а просто сидеть и злобно кидаться на любого, кто попробует обратиться (а сканирование - это именно обращение) к любым портам в системе, писать гневные письма другим администраторам, искать виноватых. А можно просто закрыть ненужные/опасные порты.
Из этого правила есть только одно исключение - если сканирование портов ведется постоянно, в течение достаточно долгого промежутка времени и вызывает перебои в работе защищаемой системы. Тут единственным фактором оценки может служить только экспертное мнение администратора.
Риск попасть под сканирование портов - в настоящее время равен 100%. Порты в Интернете сканируются постоянно. Любой пользователь файрвола знает, что если включить вывод уведомлений о каждом случае обращения извне - работать на компьютере станет просто невозможно.

ЗАРАЗА, nnov.ru(З):
Ответ зависит от принятой политики безопасности. В большинстве случаев - да, является (попытка сбора информации о топологии сети и используемых сетевых службах). Администратор должен принять меры чтобы разобраться что послужило причиной сканирования.

Алексей Лукацкий, www.infosec.ru(АЛ):
Инцидентом является группа атак, связанных между собой общими параметрами и нанесшими ущерб жертве. Исходя из этого, само по себе сканирование не является инцидентом. Однако оно может являться событием, предшествующим реальному проникновению. Поэтому необходимо контролировать такие действия, чтобы своевременно отследить последующие (после сканирования) попытки вторжения. Правда часто бывает и так, что сканирование производится автоматически по целому диапазону и ничего за собой не несет. Поэтому я бы рекомендовал использовать системы корреляции событий безопасности, которые могут связать воедино сканирование и последующие попытки взлома системы.

Дмитрий Леонов, www.bugtraq.ru(ДЛ):
Традиционно администраторы относятся к попыткам сканирования весьма болезненно. Но на мой взгляд, максимум, что тут можно и нужно сделать - взять сканирующий хост на заметку, поскольку с него, возможно, последуют и последующие действия. Как известно, при построении любой системы защиты следует исходить из враждебности окружения, так что подобные инциденты - в сущности, часть штатной работы.

Сотский, Руководитель СБ ЦИС МТ РФ(ГС):
Инцидент безопасности - это событие, нарушающее политику безопасности. И администратор безопасности должен реагировать согласно этой политике. :)
Поскольку сканирование портов само по себе имеет невысокий риск, достаточно распространено и в большинстве случаев не имеет какого-либо продолжения, реагирование на него администратором по безопасности нерентабельно. Реагировать на него должна система, автоматически блокируя IP адреса, с которых производилось сканирование.
Однако, если речь идет об объектах с повышенными требованиями к информационной безопасности, то в политике безопасности может быть прописано, что администратор ОБЯЗАН реагировать на такие события. Это реагирование может быть путем взятия на заметку скомпрометированных хостов и проведением исследования инцидента, в комплексе с другими событиями. А может быть путем отправки жалобы провайдеру. Провайдеры обычно охотно идут на встречу и делают замечания нарушителям или даже отключают их от Интернета.
Другое дело, если речь идет не о простом сканировании портов, а о проверке уязвимостей на открытых портах. В этом случае, если после обнаружения открытого порта, производится попытка эксплуатации уязвимости на нем - риск подобной атаки может быть весьма высоким. Реакция на такое событие ДОЛЖНА БЫЛА БЫ бЫТЬ достаточно жесткой, вплоть до обращения в соответствующие органы.

Илья Медведовский (Digital Security), www.dsec.ru(ИМ):
Сканирование портов не является непосредственным инцидентом безопасности. Сканирование должно являться для администратора безопасности сигналом, что к его системе возможно некто проявляет повышенный интерес. Что касается риска, то риск сканирования не велик, так как большинство сканирований оканчивается ничем: сканирование портов само по себе не означает последующей атаки системы.

Дмитрий Максимов, www.ptsecurity.ru(ДМ):
В какой-то мере является, потому что сканирование портов может показать общий уровень защиты даже навскидку. Все это конечно условно, но определенные выводы можно сделать, хотя это и не всегда работает. Например, когда хост не пингуется и у него открыт только 80 порт, это одно, а когда у хоста наружу торчит порядка 20 открытых портов, включая NetBIOS и т.д., то это уже наводит на определенные мысли

С. Гордейчик ec.ru/edu/(СГ):
Сканирование портов, несомненно, является инцидентом, требующим соответствующей реакции администратора. Однако риск, и меры реагирования в большой степени зависят от того, по отношению к какому ресурсу производилось сканирование. Если это публичный ресурс, доступ к которому регламентируется не внутренней политикой безопасностью предприятия, а общими правилами пользования сети, то я вижу следующие причины сканирования и способы реакции:
- подготовка атаки (предварительная разведка)
- попытаться определить используемый инструмент и определить полученную злоумышленником информацию. Если сканирование производилось сканером безопасности (т.е. в процессе сканирования проводилось определение наличия признаков уязвимостей), закрыть уязвимости и сообщить службе abuse провайдера;
- поиск proxy/relay (определение возможности рассылки СПАМа)
- просканировать свои публичные ресурсы на наличие такой возможности и устранить уязвимость + 3;
- активность сетевого червя
- просканировать сканирующий адрес и в случае обнаружения характерных признаков троянской программы, анонимного Proxy и т.д. сообщить abuse провайдера.
Само по себе сканирование портов публичного сервиса не является нарушением каких-либо норм.

Crime-research.org (CR):
Инциндентом (т.е событием) однозначно является. Реакция - скорее всего взять на внимание сканирующий хост. Так как на этом этапе "нарушения работы авт. системы" маловероятны -то обращаться по этому поводу в суд не стоит . (это применительно к Украине , и я думаю и к России тоже).
Если же сканирование происходит часто и действительно наблюдаются НАРУШЕНИЕ РАБОТЫ сети (или сервера) - то обратится в соотв. органы нужно, это даст им повод принять какие-нибудь действия. Опять же все будет зависеть от масштаба инцидента (если организация крупная, а у нас такие находятся под крылом Службы Безопасности -то что-нибудь да и произойдет)
Риск этого инцидента зависит от вашей политики безопасности и ДОЛЖЕН быть минимальным. я имею ввиду , к примеру, если у вас не закрытая дыра в WIN RPC - то конечно информация об этом создает большую вероятность для дальнейшей атаки .

Вопрос N2: Как вы считаете, сканирование портов может быть причиной возбуждения уголовного дела? Каковы перспективы такого дела?

(ЕК):
В действующем Уголовном Кодексе нет статьи, под которую подпадает "сканирование портов". Вот, кстати, именно на securitylab.ru недавно читал очень хорошую аналогию: двое встретили на улице третьего, посмотрели на него и избили. Третий подает в суд на первых двух, но не за то что его избили, а за то что ПОСМОТРЕЛИ на него перед избиением :) Такое дело обречено на провал.

(З):
Само по себе сканирование портов однозначно не может быть причиной возбуждения уголовного дела, т.к. не наносит ощутимого ущерба.

(АЛ):
На этот вопрос в свое время пытались ответить в FIDO, в эхе RU.SECURITY, но так ни к чему не пришли (хотя некоторые провайдеры без предупреждения отключают от Интернета за такие действия). УК подразумевает наказание за доступ к ИНФОРМАЦИИ, а сканирование такой доступ не подразумевает. Это скорее доступ к ЭВМ. Т.е. по 272 статье посадить человека нельзя. А вот попробовать применить 274 статью вполне по силам хорошему юристу. Т.к. сканирование могло повлечь блокирование доступа к информации (если связь этих двух событий доказана). Хотя 274-я статья достаточно скользкая в юридическом плане и ее можно крутить как угодно.

(ДЛ):
Сканирование само по себе - очень сомневаюсь.

(ГС):
К сожалению, правовая база и судебные прецеденты в РФ не позволяют серьезно надеяться на успешное проведение уголовных дел по преступлениям в сфере информационных технологий. Чтобы суметь инкриминировать в данном случае 274 статью УК, понадобилось бы привлечь самых лучших юристов. Но может быть уже пора?

(ИМ):
Сканирование портов не может быть причиной возбуждения уголовного дела Что касается перспектив такого дела в российском суде, то как и в любом деле, связанным с информационной безопасностью, перспективы такого дела выглядят достаточно туманными.

(ДМ):
Вряд ли. В штатах процесс по сканированию был проигран, судья сказал, что сканирование портов равносильно разглядыванию витрины в магазине. Наверно я с ним соглашусь.

(CR):
У нас в Украине перспективы возбуждения уголовного дела стремятся к 0. Насчет России - не думаю что ситуация много лучше. Нам трудно судить - так как аналитическая информация у нас отсутствует.

Антон Носик (АН) www.rambler.ru(АН):
Что же касается разговоров об Уголовном кодексе, то они, честно говоря, достаточно наивны. Ежедневно к любому серверу приходят тысячи обращений от сканнеров портов. Все, что по этому поводу делает администрация серверов - настраивает адекватную защиту. Но стоило прийти одному запросу от Яндекса, как сразу поднимается вопрос о юридическом аспекте. Не пора ли отказаться от привычки "лаять на слона" и озаботиться борьбой с теми, кто нам действительно вредит и угрожает? Ежику ясно, что это не Яндекс, а именно те, с кем он пытается бороться.

Вопрос N3: Насколько эффективно бороться со спамом, сканируя порты на подозрительной системе? Каков критерий подобных методик? Насколько распространен в мире подобный способ борьбы со спамом?

(ЕК):
Очень эффективно. Все существующие спам-фильтры не решают проблемы спама на 100%. Они могут частично решить следствие, но не саму проблему. А проблема состоит в том, что спамеры в союзе с вирусописателями все чаще и чаще становятся виновниками крупных вирусных эпидемий, целью которых является создание распределенных сетей из множества "взломанных" при помощи червей машин. В дальнейшем такие машины как раз и используются для спам-рассылок, а также для организации новых вирусных эпидемий. Так вот чем больше таких машин будет выявлено и "забанено" - тем меньше будет спама. Если известен какой либо другой, более эффективный, метод выявления таких машин, без сканирования портов - было бы интересно о нем услышать.
Мир далеко не единогласен во взгляде на данную проблему. Где-то спаммеров не могут привлечь ни к какой ответственности, даже зная их адреса и телефоны, а где-то их могут посадить пожизненно или оштрафовать на миллионы долларов.

(З):
DSBL (наиболее эффективный на сегодняшний день RBL из списков с минимальным риском заблэклистить что-либо нужное) строится практически исключительно по результатом сканирований удаленных хостов на открытые порты проводимых администраторами крупных почтовых служб. В общем случае зависит от реализации - сканированию должны подвергаться только "подозрительные" хосты, попадающие под какой-либо критерий, например большое количество примерно одинаковых писем на разные адреса в единицу времени.

(АН):
Насколько я понимаю, сканирование портов - осуществляемое в первую очередь спаммерами, а не борцами с ними - позволяет выявить open relays, доступные для спаммерского использования. Мне кажется, что при оценке такой деятельности имеет смысл отталкиваться от ее цели. Спаммеры, сканируя Ваши порты, проверяют возможность использования Ваших серверов для собственной рассылки. Люди, в обязанности которых входит борьба со спамом, могут захотеть проверить тот или иной хост на предмет наличия там open relay выборочно - по факту получения несанкционированной рекламной рассылки оттуда.
В мире распространен способ борьбы со спамом, основанный на недопущении почты с open relays. Для этого составляются "черные списки", которые впоследствии используются либо провайдерами, либо клиентским софтом (SpamPal, например). Бывают, однако, случаи, когда несанкционированная реклама приходит с сервера, в принципе закрытого для проведения массовых рассылок (например, эту рекламу разослал некий локальный пользователь вручную по ограниченному списку). Вносить ли такой сервер в "черный список", или правильней ограничиться жалобой его админу? Для получения ответа на этот
вопрос, мне кажется, совершенно легитимно проверить, открыт ли на данном сервере sendmail для посторонних отправителей спама. Если открыт – место такому серверу в RBL. Если закрыт - санкции следует применять не к серверу, а к конкретному его пользователю, злоупотребившему своим доступом к системе.
(ДЛ): Насколько я понимаю, к подобной методике прибегают в первую очередь серверы, поддерживающие всевозможные стоп-листы в целях поиска открытых релеев, доступных всем желающим. Впрочем, дело здесь ограничивается обычно лишь проверкой 25-го порта, в полном сканировании ради борьбы со спамом я не вижу никакого смысла.

(ГС):
Простое сканирование портов не дает никакой информации для борьбы со спамом. Поэтому, если борьба со спамом не является отговоркой яндекса для прикрытия действий отдельных личностей, самостоятельно проведших сканирование, то значит, по моему мнению, речь идет о методике, используемой сетевыми червями или спамерам. Т.е. производится проверка на открытые proxy и relay. Но какой смысл производить проверку ВСЕХ портов? Например, 135-го? Можно было бы произвести проверку стандартных портов и портов, начиная с 1024. Такая проверка без разрешения владельца сети хотя и неэтична, на мой взгляд, но была бы, по крайней мере, обоснована. Честно говоря, я в последнее время уже и не знаю, чего мне не нравится больше: спам или борьба с ним. Одними лишь техническими методами проблемы спама и сканирования портов не решить. Тем более если, борясь с одной проблемой, усугубляешь другую. Надеюсь, что события, повлекшие дискуссию по этой теме не вызваны официальной политикой уважаемого мною яндекса, а являюся инициативой нижнего персонала, в отношении которых уже сделаны соответствующие выводы. :)

(ИМ):
Сама эта история выглядит достаточно странно. Борьба со спамом тут явно не причем; официальный Яндекс скорее всего тоже. Вероятнее всего, это частная инициатива одного из специалистов Яндекса.

(ДМ):
Просто сканировать порты достаточно глупо, если эти порты потом не проверяются на наличие сервисов. Можно конечно найти порты, на которых обычно стоят трояны, но это мало что даст, если эти порты потом не проверять. А если уж проверять, то это уже не просто сканирование портов.

(CR):
Я думаю,что сканирование ВСЕХ портов - это слишком. Слишком грубый подход , который тратит время администраторов, трафик и время . Проверить конкретный порт того почтовика, что послал "предположительно" спам на open relay и сам хост на существование - разумно. Насколько распростанен подход Яндеса - не скажу. Не занимался этим вопросом.
Думаю, что в США за такое дают по шапке. Насчет других стран - трудно сказать. Официальная точка такая - бороться со спамом нужно на законодательной почве. :)

(СГ):
Черные списки были и остаются наиболее эффективным методом борьбы с невостребованными почтовыми рассылками. Однако публичные черные списки зачастую имеют собственную политику, которая может не совпадать с политикой предприятия (например, доверенный сервер может быть занесен в список в RBL, что может привести к сбоям в почтовом обмене и как следствие нарушении доступности СЭП, т.е. финансовым потерям). Сами серверы, поддерживающие списки могу стать объектом атаки (информация может быть модифицирована или стать недоступной). Кроме того, в последнее время используются все более и более изощренные методы рассылки СПАМа. Подмена заголовков received, c целю добавления в них SMTP узлов не содержащихся в RBL, рассылка СПАМа через HTTP/Connect/FTP/Socks Proxy, использование HTML и скрытых полей с целью обмана систем контекстной фильтрации и баз данных сообщений классифицированных как СПАМ и т.д. Несколько крупных вирусных эпидемий было направлено именно на заражение компьютеров троянскими программами, которые в дальнейшем могли бы использоваться для рассылки СПАМа (именно это, имхо, и является причиной последних антиспамерских акций, а не сам СПАМ).
В связи с вышесказанным, определение доверенности узла, от которого пришло почтовое сообщение, кажется мне довольно эффективным методом.
Идея заключается в анализе журналов севера SMTP с целью определения доверенности серверов, с которых почта была передана во внутреннюю сеть. В случае если данный сервер не является доверенным и отсутствует в черных списках, производится его тестирование на предмет наличия Proxy/Relay/Trojan, и если были обнаружены признаки одного из перечисленного, хост заносится в соответствующую зону для игнорирования/дополнительной обработки сообщений от этого источника.
Так же сканироваться могут все узлы в цепочке Received. Дополнительным критерием при проверки доверенности узла может выступать наличие соответствующей mx записи в системе DNS.
Таким образом, у каждого почтового сервера появляется свой RBL, динамически обновляемый и управляемый непосредственно администратором узла. Кроме того, данные этого списка могут быть опубликованы для использования доверенными узлами.
В качестве примера реализации можно рассматривать ofisp.org/ .
Информацией о распространенности не обладаю, однако считаю, что это довольно эффективный и мощный механизм.

Вопрос N4 адресован к провайдерам: Как вы реагируете на жалобы на сканирование портов? Оговариваются ли последствия подобных инцидентов при заключении договора с вашими клиентами?

Zenon N.S.P., www.zenon.net:
Общий ответ на Ваш вопрос таков: подобные действия запрещены в пункте 6
Приложения 2 к Договору с пользователем:
.net/cgi/go?0011
================================
УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ УСЛУГ
...
6. АБОНЕНТУ запрещается:
Осуществлять попытки несанкционированного доступа к ресурсам ПРОВАЙДЕРА
и к другим системам, доступным через сеть Интернет.
================================
Но, тем не менее, каждый конкретный случай и каждая жалоба рассматриваются персонально.

Андрей Гасов, ЗАО "Элвис Телеком":
На мой взгляд подобные действия полностью определены в документе "Нормы пользования сетью" (.org/).
Этот документ является неотъемлемой частью договора с конечным пользователем. Если поступают жалобы на сканирование портов нашими клиентами мы выясняем кто, что и зачем сканил и если эти действия нарушают "Нормы пользования сетью" имеем вполне законное право прекратить предоставление услуг.

Мирон М. Рудник, www.MSM.ru:
Мы регистрируем сканирования портов только нашего центрального узла, если сканирование носит достаточно постоянный характер или может иметь потенциальную угрозу мы связываемся с техническим персоналом провайдера ( источника ) и решаем с ним эту проблему.
Если к нам обращаются с жалобами на сканирование которое осуществляет какой-нибудь из наших клиентов, мы предупреждаем клиента, если он конечный, если же клиентом является провайдер услуг, переадресуем жалобу в техническую службу данного провайдера.
Постоянные жалобы на действия клиента могут привести к его отключению
на основании пункта договора:
5.3 Абоненту запрещается:
1. Передавать в сеть информацию, оскорбляющую честь и достоинство Других Абонентов и обслуживающего персонала msm.ru.
2. Использовать предоставленный ему доступ в сеть msm.ru для несанкционированного доступа и порчи компьютеров, к которым возможен доступ через сеть msm.ru.

Денис В. Губанов, ЗАО "Диджитал Нетворк":
Реагируем просто, отключаем и всего делов :). В договоре оговариваем подобные инциденты.

Зарубин Сергей, ЗАО "Демос-Интернет":
В структуре Компании существует Группа реагирования на нарушения информационной безопасности. В соответствии с процедурой эскалации докладов, как Абоненты Компании, так и сторонние пользователи сети Интернет сообщают Группе об имеющихся несанкционированных обращениях или иных аномалиях в области информационной безопасности. Компания выполняет сбор и сохранение данных, реагирование на нарушения информационной безопасности. При использовании услуг сети Интернет/Россия Абонент ЗАО "Демос-Интернет" обязуется соблюдать Регламент [-internet.ru/new/go/support.reglament.php], в котором оговорены недопустимые действия и ответственность Абонента в случае его нарушения.