Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 13:02 Здравейте,
много извинявайте ако темата не е за тук, просто някак не ми е смешно иначе щях да я плесна в "Хумор". Знмачи, ситуацията е следната : Имам аз компютър, на него има ДЕбиан. Firewall-а е написан с IPTABLES обаче беше нещо рехав и реших да го оправя оня ден. Ta пускам преди да седна да работя един nmap и ми изкарва нормален резултат за моментното състояние на машината : nmap -sS -T 5 -P0 -O
обаче понеже винаги питам два пъти, накарах един познат да пусне и той и резултатът беше това : nmap -P0
да де , ама аз никога не бях чувала за kuang2, subseven, Trinoo_Master нито е чувал firewall-а ми . освен че му беше казано -A INPUT -p icmp --icmp-type echo-request -j DROP -A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -m state --state RELATED -j DROP -A FORWARD -i eth0 -m state --state INVALID -j DROP -A FORWARD -i eth0 -m state --state NEW -j DROP не бях забранявала нищо друго. Тоест чувала съм, но мислех , че се срещат в уиндоус, а не в линукс. Google не ми каза нещо смислено - тоест по това, което намерих да прочета съдя, че компютъра ми е зомбясал ... Решението, което ми хрумва е да го преинсталирам, и това ще стане съвсем скоро, но ми се иска да знам какво е това и защо е така . Ако може някой да ми "запали лампата" ще съм благодарна. Титла: Странни резултати с nmap на debian. Публикувано от: never_mind в Apr 11, 2006, 13:41 Вторият резултат определено не е на Linux машина... сигурно твоя приятел е объркал IP-то... по скоро вторият резултат ми прилича на Windows с рехав firewall... поне това е моето мнение.
Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 13:44
да но приятелят ми ми даде ssh до машината си и аз пуснах същия nmap и ми отговори със същия резултат . а машината Е с debian. и никога не е виждала windows. Титла: Странни резултати с nmap на debian. Публикувано от: Hapkoc в Apr 11, 2006, 13:57 GattaNegra, сега като питаш - при мене същата работа.
Сканирам си машината отвън (nmap -P0) и ми излизат всичките портове свързани с SMB/NetBIOS протоколите като filtered, а са си затворени. А IP адреса със сигурност не съм го объркал. М/у другото при мен е OpenBSD, което ме навежда на мисълта, че някаква врътка със самия nmap има. Та ако някой има информация - да сподели. Титла: Странни резултати с nmap на debian. Публикувано от: never_mind в Apr 11, 2006, 14:03 Пробвайте с другите опции за OS detection и прочие, и кажете има ли разлика. Защото аз досега само с -P0 не съм си сканирал машината. Оnline сканиране от някой от многото сайтове какво казва?
Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 14:11
ми дадох и nmap -sS -T 5 -O -P0 и резултата пак така - от моята машина - първия, от машината на приятеля ми - втория. онлайн скенерите .. пробвах с един , не помня кой вчера и ми извади отворени 111, 113, 80 порт. ма аз не му вярвам .. Титла: Странни резултати с nmap на debian. Публикувано от: never_mind в Apr 11, 2006, 14:38
Чакайте малко, тва е абсурдно. При тази команда nmap не би трябвало да сканира толкова високи портове като 27374. Поне така мисля. Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 14:53
това .. как да кажа .. машината на приятеля ми е също с дебиан. аз се ssh като обикновен потребител и давам nmap -P0 xxx.xxx.xxx.xxx и ми дава описания горе отговор. а , след това сканирах от още 5 машини и от ТЯХ НЯМА подобен отговор. според друго мнение обяснението се крие в това, че съм забранила всичко. обаче - дори и да е така , дебиан откъде ще знае kuang2 subseven Trinoo_Master че точно тия портове позлват ? Те май ползват random портове . Параноичната ми мисъл реши, че ако някой нещо е направил може и да е задал от къде да се вижда и от къде да не се ... имам предвид доставчици или нещо от сорта. и изобщо тия трите злини какво ми правят в линукса ?! Мисля все пак че темата трябваше да я пусна в "напреднали" ... Титла: Странни резултати с nmap на debian. Публикувано от: в Apr 11, 2006, 14:59 Нереално просто е, замисляли ли сте се някога, че от другото място където се пуска nmap вероятно потребителите са зад NAT-ваща машинка, която прави и ip filtering??
пробвайте (зад NAT на който примерно е филтриран във FORWARD chain-а tcp port 1000, с DROP! да сканирате която и да е машина навън. На всичките машини които сканирате ще ви излезе 1000/tcp state: filtered. Това ще стане поради простата причина, че когато nmap прати tcp пакет със SYN флаг към целта, първия там хоп (NAT-ващата машина) ще го издропи, ще мине някакво време и nmap няма да получи нито SYN-ACK, нито ICMP_PORT_UNREACHABLE, съответно ще си реши че на сканираната машина порт-а е филтриран (което не е нашият случай). Поради сходни причини (този път вероятно DNAT) отвън изглежда че 21 порт е отворен, докато на сканираната машинка дефакто е филтриран. Не виждам нищо смешно или нелогично, всеки който си има идея от tcp/ip и знае как nmap сканира и как се извършва NAT-ването ще се сети какво става )) А и предполагам вероятно знаете че това което ви изпише нмап от едно стандартно tcp/udp портсканиране в доста случай може да се различава от реалността...поради ред обстоятелства Титла: Странни резултати с nmap на debian. Публикувано от: Hapkoc в Apr 11, 2006, 15:01 Gatta, гледай сега, принципно при такова сканиране nmap няма как да знае какво точно слуша на порта и това, което излиза в SERVICE полето е услугата, която фигурира на този порт във файла nmap-services (обикновено е /usr/share/nmap/nmap-services).
STATE filtered пък означава, че nmap не успява да определи дали порта е отворен или затворен. Това, което мен ме гложди е защо разните Microsoft-ски портове излизат filtered при мен, докато останалите си ги дава closed. Титла: Странни резултати с nmap на debian. Публикувано от: Hapkoc в Apr 11, 2006, 15:02 gat3way, сега като прочетох какво си писал ми се попроясниха нещата. :)
мерси. Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 15:05
абе .. и аз тия съм ги чувала .. ма .. сега какво ми казвате последно - да не се пУаша или ? тоест - аз мислях да не я преинссталирам а да я наблюдавам тая машина и да намеря начина да разбера какво се СЛУЧВА на нея - чета логове и мейлове и намкво и не мога да разбера , не излиза нищо съмнително . Титла: Странни резултати с nmap на debian. Публикувано от: в Apr 11, 2006, 15:37 Най-вероятно нищо не се случва на нея. Ако разчиташ единствено на логовете и мейловете обаче за да си сигурна че никой нищо лошо не прави по нея...ммм грешна стратегия
Да кажем, че съм някакъв 3v1L 31337 h4x0r там и се сдобия с root достъп на машинката ти - ъъъ има rootkit-ове, които изпълняват това което е в payload-а на ICMP echo получените пакети да речем и връщат (част от) резултата в payload-a на ICMP echo reply отговорите. Никога с никакво портсканиране няма да можеш да установиш че имаш инсталиран rootkit. Вероятно снифейки трафика докато върша разни престъпления там може и да видиш нещо, знам ли Няма да видиш и никакви връзки в netstat също така...един вид ще ти командвам машинката чрез ping (е айде няма да е с ping щото там pattern-a e ограничен до 16 байта, ама с други хахорски красоти става лесно). Идеята за това е доста стара и предполагам в гугъл-а ако се разтърси човек ще намери някакви реализации. Човек да иска да крие rootkits...последния начин по който ще разбереш, че има проблеми е като си гледаш логовете. А и те съвсем спокойно се модифицират от юзърите със съответните права. Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 15:44 е ма да де ама аз подозирам че се случва а не че не се , и искам да знам дали се . и си гледам трафика и нищо интересно не виждам. мисля да изхвърля хард диска. Титла: Странни резултати с nmap на debian. Публикувано от: в Apr 11, 2006, 15:48 Не го изхвърляй, подари ми го
Титла: Странни резултати с nmap на debian. Публикувано от: VladSun в Apr 11, 2006, 16:52
мисля, че това не е добра идея (доколкото разбирам прехвърляш нет и към други ПЦ-та зад тебе). Това, което съм чел е, че порт 113 трябва да може да приема заявки (не да ги DROP, а да REJECT), защото някои сърверни приложения с определени настройки (мисля, че IRC прим.) отказват достъп до услугата, ако не получат някакъв отговор от ident port-a. А и в общия случай мисля, че е по-добре да ACCEPT-ваш RELATED пакетите. Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 17:03
мисля, че това не е добра идея (доколкото разбирам прехвърляш нет и към други ПЦ-та зад тебе). Това, което съм чел е, че порт 113 трябва да може да приема заявки (не да ги DROP, а да REJECT), защото някои сърверни приложения с определени настройки (мисля, че IRC прим.) отказват достъп до услугата, ако не получат някакъв отговор от ident port-a. А и в общия случай мисля, че е по-добре да ACCEPT-ваш RELATED пакетите.не за сега няма други машини зад тази - приложенията заради които така ти се е сторило са инсталирани с опитна цел . със и без този ред -A FORWARD -i eth0 -m state --state RELATED -j DROP си ползвам IRC като слънце защото съм задала естествено и -A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT. без него наистина нямах irc. a 113 ... задала съм -A INPUT -p tcp -s 127.0.0.1 -i eth0 --dport 113 -j ACCEPT -A INPUT -p tcp --dport 113 -j DROP обаче той все така си стои отворен и ме нерви . мани ги ти тия, кажи ми за 12345/tcp filtered NetBus 12346/tcp filtered NetBus 17300/tcp filtered kuang2 27374/tcp filtered subseven 27665/tcp filtered Trinoo_Master че са ми по-интересни )) Титла: Странни резултати с nmap на debian. Публикувано от: в Apr 11, 2006, 18:09 GattaNegra, това че ircd-тата които ползваш не ти отказват да се логнеш след като нямат достъп до identd-a ти не означава, че всичките ircd-ta са такива.
Като изключим това, най-вероятно и ftp-трансферите ще си го отнесат, освен което понякога ще се случи да се върне някоя ICMP грешка и клиентът зад твоя НАТ няма да го разбере (ъхм,това което веднага се сещам като последствие е че един клиент зад твоят НАТ ще разбере доста по-бавно ако услугата, с която се опитва да се свърже е спряна - не че е големия проблем де) Тези портове, която толкова те учудват са резултат от това, че firewall-a при доставчика на твоя приятел ги дропва. Това са добре известни портове асоцирани с разни уиндоуски троянци там и хората са предпочели да си спестят тарапаната ако някой извън тяхната мрежа вземе че затрие харддиска на някой техен "троянизиран" клиент. Ще го обясня пак накратко: да речем че нямаш нито един филтриран порт. Твоят приятел стои зад НАТ-а на доставчика си и иска да сканира да речем точно този странен порт - 12345. Нека накратко само да опиша как протича една примерна tcp комуникация между две машини: 1) клиента изпраща към сървъра TCP пакет със вдигнат SYN флаг. 2) server-a отговаря с TCP пакет с вдигнати SYN и ACK флагове 3) клиента отговаря с TCP пакет с вдигнат ACK флаг --- в този момент връзката се счита за установена. Ако от сървърна страна слушащия демон лог-ва, то тази установена връзка се лог-ва, демона съответно си изкарва там каквито трябва login банери или бог знае кво и т.н... Съответно какво прави nmap: както си забелязала сканирането на един порт става много по-бързо отколкото телнет-ването към него + което се получава "странния" ефект че демона не лог-ва никакъв опит за връзка. Защо става така е лесно обяснимо. Ето как преминава простото порт-сканиране (syn-scan): 1) nmap праща към "сървъра" TCP пакет с вдигнат SYN флаг. 2) Тука има няколко варианта какво се случва: вариант 1: Сървъра си мисли, че клиента иска да установи връзка, при което връща TCP пакет със вдигнати SYN/ACK. nmap казва "аха, значи порта е отворен" вариант 2: Нищо не слухти на този порт на сървъра. Неговият tcp/ip стек връща един ICMP destination port unreachable пакет. nmap казва "аха, значи порта е затворен" варинат 3: минава известно време и няма ни вест, ни кост от сървъра. nmap си казва "аха, значи тоя порт най-вероятно е филтриран" Сега да се върнем на това което се случва с твоят приятел, който те сканира. На firewall-a на неговият доставчик са филтрирани портове 12345,12346 и т.н. Като си пусне nmap-a и той тръгне да ти сканира някой от тях става следното: 1)приятелят ти пуска един TCP пакет с вдигнат SYN 2) firewall-a на доставчика му дроп-ва този пакет и не го препраща нататък (съответно и да имаше кой да слухти на твоята машинка на този порт, просто пакетът нямаше да си пристигне до целта) 3) nmap-a на твоят приятел чака, чака, нищо не пристига като отговор и накрая казва "аха, значи на машинката, която сканирам този порт очевидно е филтриран" Само че в случая, при теб той не е филтриран. Филтриран е при защитната стена на доставчика му. Надявам се сега ти се изясни Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 20:39 gat3way надявам се не си се нервирал/а много , извинявам се на всички че ви занимавам с глупости просто се шашнах .
съжалявам че ви загубих времето и много благодаря за отзивите Титла: Странни резултати с nmap на debian. Публикувано от: GoodT в Apr 11, 2006, 21:46 А Portsentry имате ли инсталиран? -Защото ,ако е така ,той праща лъжливи данни на скенерите.
"Ako не ти помогне умната, то и русата няма да може ." -Понякога стават чудеса. Титла: Странни резултати с nmap на debian. Публикувано от: GattaNegra в Apr 11, 2006, 22:04
portsentry нямам . четох , са не помня линка, че то пречи на нмап и още 5 сканиращи инструмента. а за русата ... да дойде да ми оправи компа като може, щото аз съм умна ма нещо не мога ... и тогава може и да се замисля над думите ти . Титла: Странни резултати с nmap на debian. Публикувано от: в Apr 11, 2006, 23:10 Абе аз съжалявам, не исках да звучи като каране
Титла: Странни резултати с nmap на debian. Публикувано от: в Apr 12, 2006, 00:20 Хахах , когато пускаш нмап от машана на кабел разстояние от сканираната тогава му вервай , нали се сещаш, че трафика ти минава през 3-4-5-6-7-7-8 рутера на които има едни АЦЛ-и които поорезват отвреме на време някои нещица от рода на тсп портнове 139 , 445 и т.н.
|