Кто атакует TCP-порт 113 моего компьютера (IDENT)?

В последнее время люди стали уделять больше внимания информационной безопасности. Это радует. Вместе с тем, появилась новая серия вопросов для FAQ. Вот один из них:

Мой firewall обнаруживает подозрительные попытки соединений на TCP-порт 113 моего компьютера. Я читал, что с помощью этого протокола можно меня "идентифицировать". Неужели это атака хакеров и мой компьютер скоро взломают, а меня "идентифицируют" до смерти!?

Сразу хочу успокоить - никакой угрозы в попытках соединений с вашим компьютером через порт 113 скорее всего нет. Этот порт закреплен за одним из стандартных Интернет-сервисов (таким же как WWW, FTP, SMTP и т.д.). Этот сервис называется IDENT.

Для чего он предназначен? Вот что говорит по этому поводу документ RFC 1413:

The Identification Protocol (a.k.a., "ident", a.k.a., "the Ident Protocol") provides a means to determine the identity of a user of a particular TCP connection. Given a TCP port number pair, it returns a character string which identifies the owner of that connection on the server's system.

Поясним по-русски. Когда компьютер X хочет установить TCP соединение с компьютером Y, то компьютер Y может поинтересоваться у компьютера X, а кто конкретно является организатором этого соединения? Ведь все, чем располагает стандартный TCP стек компьютера Y это IP-адрес компьютера X и номер его TCP-порта от которого исходит соединение. Возможно например, что данное соединение может быть обслужено только если оно исходит от пользователя Z (или программы работающей с его полномочиями) работающего на компьюетере X.

Вот для того, чтобы идентифицировать организатора конкретного TCP-соединения и предназначен сервис IDENT. Как и большинство сервисов он работает по схеме клиент-сервер. В данном случае IDENT-клиент компьютера Y будет спрашивать у IDENT-сервера компьютера X.

IDENT-запрос вашему компьютеру может прислать любой сервер (FTP, WWW, SMTP, POP3 и т.п.), с которым соединяется ваш компьютер. Поэтому не надо удивляться, если вы обнаруживаете в журнале вашего firewall-а записи о попытках соединения на порт 113.

Windows не содержит штатного IDENT сервера, поэтому просто отражает все обращения на TCP-порт 113. Вообще ваше право решать (точнее, право вашего компьютера) отвечать или не отвечать на IDENT-запросы. Но надо понимать, что у сервера тоже есть право не обслуживать Вас если Вы не ответили на его IDENT-запрос. Известно, что IDENT очень слабый механизм аутентификации, поэтому полагаться на него особенно не стоит. Большинство серверов и не полагается. Ответили им на IDENT-запрос - хорошо. Не ответили - тоже хорошо. Обслужат и так.

Конечно, можно организовать тупую атаку посылая вашему компьютеру огромное количество запросов на соединение через порт 113. Но любой другой порт в такой же степени подходит для этого.