Автор Тема: Странни резултати с nmap  на debian.  (Прочетена 6105 пъти)

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Странни резултати с nmap  на debian.
« Отговор #15 -: Apr 11, 2006, 16:52 »
Цитат (GattaNegra @ Април 11 2006,13:02)
-A FORWARD -i eth0 -m state --state RELATED -j DROP

мисля, че това не е добра идея (доколкото разбирам прехвърляш нет и към други ПЦ-та зад тебе).

Това, което съм чел е, че порт 113 трябва да може да приема заявки (не да ги DROP, а да REJECT), защото някои сърверни приложения с определени настройки (мисля, че IRC прим.) отказват достъп до услугата, ако не получат някакъв отговор от ident port-a.
А и в общия случай мисля, че е по-добре да ACCEPT-ваш RELATED пакетите.



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

GattaNegra

  • Напреднали
  • *****
  • Публикации: 650
  • Distribution: Linux Mint DE
  • Window Manager: XFCE
    • Профил
Странни резултати с nmap  на debian.
« Отговор #16 -: Apr 11, 2006, 17:03 »
Цитат (VladSun @ Април 11 2006,16:52)
Цитат на: GattaNegra,Април 11 2006,13:02
-A FORWARD -i eth0 -m state --state RELATED -j DROP

мисля, че това не е добра идея (доколкото разбирам прехвърляш нет и към други ПЦ-та зад тебе).

Това, което съм чел е, че порт 113 трябва да може да приема заявки (не да ги DROP, а да REJECT), защото някои сърверни приложения с определени настройки (мисля, че IRC прим.) отказват достъп до услугата, ако не получат някакъв отговор от ident port-a.
А и в общия случай мисля, че е по-добре да ACCEPT-ваш RELATED пакетите.не за сега няма други машини зад тази - приложенията заради които така ти се е сторило са инсталирани с опитна цел .
със и без този ред
-A FORWARD -i eth0 -m state --state RELATED -j DROP
си ползвам IRC  като слънце '<img'> защото съм задала естествено и -A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT.  без него наистина нямах irc.
a 113 ... задала съм
-A INPUT -p tcp -s 127.0.0.1 -i eth0 --dport 113  -j ACCEPT
-A INPUT -p tcp --dport 113 -j DROP
обаче той все така си стои отворен и ме нерви . мани ги ти тия, кажи ми за
12345/tcp filtered NetBus
12346/tcp filtered NetBus
17300/tcp filtered kuang2
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master
че са ми по-интересни '<img'>))
Активен

Мразя Gnome 3!!!

  • Гост
Странни резултати с nmap  на debian.
« Отговор #17 -: Apr 11, 2006, 18:09 »
GattaNegra, това че ircd-тата които ползваш не ти отказват да се логнеш след като нямат достъп до identd-a ти не означава, че всичките ircd-ta са такива.

Като изключим това, най-вероятно и ftp-трансферите ще си го отнесат, освен което понякога ще се случи да се върне някоя ICMP грешка и клиентът зад твоя НАТ няма да го разбере (ъхм,това което веднага се сещам като последствие е че един клиент зад твоят НАТ ще разбере доста по-бавно ако услугата, с която се опитва да се свърже е спряна - не че е големия проблем де)

Тези портове, която толкова те учудват са резултат от това, че firewall-a при доставчика на твоя приятел ги дропва. Това са добре известни портове асоцирани с разни уиндоуски троянци там и хората са предпочели да си спестят тарапаната ако някой извън тяхната мрежа вземе че затрие харддиска на някой техен "троянизиран" клиент.

Ще го обясня пак накратко: да речем че нямаш нито един филтриран порт. Твоят приятел стои зад НАТ-а на доставчика си и иска да сканира да речем точно този странен порт - 12345. Нека накратко само да опиша как протича една примерна tcp комуникация между две машини:

1) клиента изпраща към сървъра TCP пакет със вдигнат SYN флаг.
2) server-a отговаря с TCP пакет с вдигнати SYN и ACK флагове
3) клиента отговаря с TCP пакет с вдигнат ACK флаг

--- в този момент връзката се счита за установена. Ако от сървърна страна слушащия демон лог-ва, то тази установена връзка се лог-ва, демона съответно си изкарва там каквито трябва login банери или бог знае кво и т.н...

Съответно какво прави nmap: както си забелязала сканирането на един порт става много по-бързо отколкото телнет-ването към него + което се получава "странния" ефект че демона не лог-ва никакъв опит за връзка. Защо става така е лесно обяснимо. Ето как преминава простото порт-сканиране (syn-scan):

1) nmap праща към "сървъра" TCP пакет с вдигнат SYN флаг.
2) Тука има няколко варианта какво се случва:
вариант 1: Сървъра си мисли, че клиента иска да установи връзка, при което връща TCP пакет със вдигнати SYN/ACK. nmap казва "аха, значи порта е отворен"
вариант 2: Нищо не слухти на този порт на сървъра. Неговият tcp/ip стек връща един ICMP destination port unreachable пакет. nmap казва "аха, значи порта е затворен"
варинат 3: минава известно време и няма ни вест, ни кост от сървъра. nmap си казва "аха, значи тоя порт най-вероятно е филтриран"

Сега да се върнем на това което се случва с твоят приятел, който те сканира. На firewall-a на неговият доставчик са филтрирани портове 12345,12346 и т.н. Като си пусне nmap-a и той тръгне да ти сканира някой от тях става следното:

1)приятелят ти пуска един TCP пакет с вдигнат SYN
2) firewall-a на доставчика му дроп-ва този пакет и не го препраща нататък (съответно и да имаше кой да слухти на твоята машинка на този порт, просто пакетът нямаше да си пристигне до целта)
3) nmap-a на твоят приятел чака, чака, нищо не пристига като отговор  и накрая казва "аха, значи на машинката, която сканирам този порт очевидно е филтриран"

Само че в случая, при теб той не е филтриран. Филтриран е при защитната стена на доставчика му.

Надявам се сега ти се изясни '<img'>
Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 650
  • Distribution: Linux Mint DE
  • Window Manager: XFCE
    • Профил
Странни резултати с nmap  на debian.
« Отговор #18 -: Apr 11, 2006, 20:39 »
gat3way надявам се не си се нервирал/а много ,  извинявам се на всички че ви занимавам с глупости  просто се шашнах .
съжалявам че ви загубих времето  и много благодаря за отзивите
Активен

Мразя Gnome 3!!!

GoodT

  • Напреднали
  • *****
  • Публикации: 361
    • Профил
Странни резултати с nmap  на debian.
« Отговор #19 -: Apr 11, 2006, 21:46 »
А Portsentry имате ли инсталиран? -Защото ,ако е така ,той праща  лъжливи данни на скенерите. '<img'>
"Ako не ти помогне умната, то и русата няма да може ." -Понякога стават чудеса. '<img'>



Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 650
  • Distribution: Linux Mint DE
  • Window Manager: XFCE
    • Профил
Странни резултати с nmap  на debian.
« Отговор #20 -: Apr 11, 2006, 22:04 »
Цитат (GoodT @ Април 11 2006,21:46)
А Portsentry имате ли инсталиран? -Защото ,ако е така ,той праща  лъжливи данни на скенерите. '<img'>
"Ako не ти помогне умната, то и русата няма да може ." -Понякога стават чудеса. '<img'>

portsentry нямам . четох , са не помня линка, че то пречи на нмап и още 5 сканиращи инструмента.
а за русата ... да дойде да ми оправи компа като може, щото аз съм умна ма нещо не мога ... и тогава може и да се замисля над думите ти .
Активен

Мразя Gnome 3!!!

  • Гост
Странни резултати с nmap  на debian.
« Отговор #21 -: Apr 11, 2006, 23:10 »
Абе аз съжалявам, не исках да звучи като каране '<img'>
Активен

  • Гост
Странни резултати с nmap  на debian.
« Отговор #22 -: Apr 12, 2006, 00:20 »
Хахах , когато пускаш нмап от машана на кабел разстояние от сканираната тогава му вервай , нали се сещаш, че трафика ти минава през 3-4-5-6-7-7-8 рутера на които има едни АЦЛ-и които поорезват отвреме на време някои нещица от рода на тсп портнове 139 , 445 и т.н.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
MPlayer  +  Debian
Настройка на програми
IvanST 7 4464 Последна публикация Feb 15, 2003, 18:55
от IvanST
Nmap
Настройка на програми
axxis 2 2519 Последна публикация Aug 23, 2006, 18:51
от axxis
Nmap - no buffer space availabale
Настройка на програми
0FF1 0 2144 Последна публикация Nov 13, 2006, 19:56
от 0FF1
Как се скриват от nmap ???
Системна Сигурност
Pavlik 13 5232 Последна публикация Apr 11, 2010, 17:07
от nigl
NMAP интересен казус
Настройка на програми
victim70 12 4522 Последна публикация Aug 23, 2013, 23:43
от laskov