Ik heb daar echt nog nooit last van gehad. Maar kijk maar eens op avira.com wat er voor bescherming in de Security Suite zit. Dan zie je waarom niet. Nou is het wachten tot Microsoft zulke beschermingen nou eindelijk ook eens in Windows inbouwt. Het kan wel, dat is duidelijk.

Ik heb ooit met [url=http://www.firewallleaktester.com/wwdc.htm]Windows Worms Doors Cleaner[/url] de boel dicht gegooid, dus ook poort 135.
Ik vraag me nu alleen af of ik kwetsbaar was voor het "worm lek" van vorige week.

Ik weet niet hoe ver die Avira Security Suite gaat, maar van oudsher heb je niets aan virusscanners omdat die file-gebaseerd werken, hooguit een firewall die netwerkpakketten op exploits analyseert kan bescherming bieden tegen 'aanvallen' op poorten als 135 (udp en tcp). Het probleem daarvan is echter dat het netwerkverbindingen onacceptabel traag kan maken.

M.i. moet Microsoft niet de door jou genoemde beveiligingen toevoegen, maar by default zorgen dat PC's op geen enkele poort luisteren (dan heb je de one-way windows firewall ook niet meer nodig), en gebruikers via wizards alleen die services laten aanzetten die ze echt nodig hebben, en by default zodanig (IP-range restricties) dat poorten waarvan Microsoft zelf herhaaldelijk aangeeft (zie de faq-workarounds in bijv. [url=http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx]MS03-039[/url]) dat ze niet aan het Internet moeten worden blootgesteld, alleen vanaf een beperkt aantal lokale PC's of printers e.d. toegankelijk zijn.

Overigens zijn dit soort aanvallen alleen een probleem voor PC's met een publiek IP-adres, of die aan grotere private netwerken hangen waarop 'reizende' notebooks worden aangesloten of PC's zijn aangesloten die op andere wijze zijn gecompromitteerd (en als doorgeefluik van malware worden gebruikt). Als je thuis met een paar PC's achter een NAT-router zit en je PC's gepatched houdt heb je weinig te vrezen voor dit soort aanvallen.

Als ik wat grep/awk/sed/uniq op log files van een aantal tientallen machines over een week of 2, kom ik op de volgende stats uit (ik zoek op de porten 135,137,139, 445, 1433, 1434 en 3398):

# prot poort
-------------------
7186 UDP 137
2023 TCP 445
1851 TCP 139
692 TCP 135
325 UDP 1434
312 TCP 1433
24 TCP 1434
22 TCP 3398
21 TCP 137

toch flink verschil..

Poort 135 was toch de favo voor de w32.blaster vroegah ?

De grote hamvraag is, wat wordt er verstaan onder een "aanval". Is het maken van een connectie al voldoende om als aanval gerekend te worden?

Toor, in jouw lijstje, zijn dit gewoon geblokkeerde connecties naar die poorten? Als je een X aantal windows machines in je netwerk hebt is de kans vrij groot dat je redelijk wat verkeer ziet op poort udp/137. Dat zijn geen aanvallen maar is normaal windows gedrag (name resolving; WINS broadcast).

@Toor: een aardig lijstje met zowel status als trend van de 5 meest 'aangevallen' poorten vind je [url=http://www.mynetwatchman.com/]hier[/url].

ik heb een PIII volgestopt met 256 mb ramm , een 10gb hd , 4 netwerk kaarten , en Smoothwall (http://www.smoothwall.org/) erop geknald.
Bevalt me best , vooral omdat ik via Spamhaus (http://www.spamhaus.org/) 80.000 ip(-range)s aan IP-blok lijst heb toegevoegd , waardoor er zowieso geen connectie word toegestaan vanaf of naar bekende Bot-nets enz.
Met gamen heb ik een iets hogere ping , maar neem dat graag voor lief.

dat weet ik, maar al deze denied connecties komen over het internet en zijn derhalve geen broadcasts..