Linux за българи: Форуми

Как мога да направя така, че при сканиране с NMAP да не се разбира с каква OS е сканирания сървър?

nmap host

 nmap abv.bg

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-19 16:22 EEST
Interesting ports on abv.bg (194.153.145.104):
Not shown: 996 filtered ports
PORT    STATE  SERVICE
80/tcp  open   http
443/tcp open   https
465/tcp closed smtps
995/tcp closed pop3s

Nmap done: 1 IP address (1 host up) scanned in 12.27 seconds

Въпроса е май го зададох тъпо. Как мога да се скрия от NMAP? Като напиша Да не ми излиза Linux 2.6.x бля бля ми някакви маймуняци.

Тоест да не излиза това

трябва да пачваш ядрото
http://nmap.org/misc/defeat-nmap-osdetect.html

Въпроса е май го зададох тъпо. Как мога да се скрия от NMAP? Като напиша

Код:

nmap -O [host]

Това вече е друго, сори ама съм те разбрал погрешно ;)

@jet от това имах нужда.
@backtolife извинявай за тъпотията ми.

Само един момент. Тези защити IP personality, stealth patch, fingerprint fucker пише че са за ядра от 2.4.x надолу, ще вървят ли без проблем на 2.6.x?

не винаги може да се получи скриване. така или иначе някои от услугите, които ползваш може да показват версията си и по нея да се направи извод. така или иначе е все тая дали ще разберат каква ти е ОС, ако намерят версия на услуга, за която се знае че има дупка  :-)

Добре де как поне мога да си скрия MAC адреса?

Е не може хем да искаш да си говорят с теб, хем да си "скриеш" мак адреса. Това е все едно да искаш хората да ти се обаждат, ама да си скриеш от тях телефонния номер.

Има начин.. И резултата е такъв

No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=5.21%D=5/20%OT=22%CT=1%CU=41587%PV=N%DS=0%DC=L%G=Y%TM=4BF4DBF1%P=
OS:x86_64-pc-linux-gnu)SEQ(SP=C9%GCD=1%ISR=CC%TI=Z%CI=Z%II=I%TS=A)OPS(O1=M4
OS:00CST11NW7%O2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST11
OS:NW7%O6=M400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN
OS:(R=Y%DF=Y%T=40%W=8018%O=M400CNNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=
OS:AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(
OS:R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%
OS:F=R%O=%RD=0%Q=)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G
OS:%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.41 seconds
75/3008MB   4.38 3.00 1.63 1/299 7258
[6957:6954 0:517] 09:51:29 чт май 20 [root@Gentoo.extremebg.co.cc: +2] ~
(2:517)#

Хубаво, как да го направя? Щото предния линк, който ми пратиха беше малко стар и проблема ми е да не вкарам някакви грешни модули и да си прецакам FTP-то. Засега си върви супер, не искам да се сговняса.

Така. Ето го и отговора...

iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

iptables -A INPUT -p tcp -i eth1 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp -i eth1 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
iptables -A FORWARD -p tcp -i eth1 -m state --state NEW -m recent --set
iptables -A FORWARD -p tcp -i eth1 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP

iptables-save

milko-desktop ~ # nmap -O 192.168.0.102

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-20 13:49 EEST
Stats: 0:05:13 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 62.70% done; ETC: 13:57 (0:03:06 remaining)
Stats: 0:05:42 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 64.05% done; ETC: 13:58 (0:03:12 remaining)
Stats: 0:08:42 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 72.15% done; ETC: 14:01 (0:03:21 remaining)
Stats: 0:11:57 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 81.05% done; ETC: 14:04 (0:02:48 remaining)
Stats: 0:15:12 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 89.85% done; ETC: 14:06 (0:01:43 remaining)
Stats: 0:18:32 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 98.95% done; ETC: 14:08 (0:00:12 remaining)
Interesting ports on 192.168.0.102:
Not shown: 996 filtered ports
PORT     STATE  SERVICE
443/tcp  closed https
445/tcp  closed microsoft-ds
5900/tcp closed vnc
8888/tcp closed sun-answerbook
MAC Address: 00:0C:F1:8F:88:5D (Intel)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router|WAP|general purpose
Running: Linksys embedded, Linux 2.4.X|2.6.X
OS details: Linksys WRV200 wireless broadband router, DD-WRT v24 SP2 (Linux 2.4.36), Linux 2.6.22 (Kubuntu, x86), Linux 2.6.25 (openSUSE 11.0)
Network Distance: 1 hop

Това е изхода.

Това е втория път когато пускам скан, предния път показа само маймунки, OS details няма нищо вярно с това което върви на компа.

Реално и сега изхода е fake :)

Роко, само от любопитство защо му трябва толкова време, за да направи сканирането. Почти 20 мин ако забелязваш.

Роко, само от любопитство защо му трябва толкова време, за да направи сканирането. Почти 20 мин ако забелязваш.

Може би защото сървъра е далече и докато изпълни всяка заявка и преодолее всички правила на защитната стена

Заради това:

iptables -A INPUT -p tcp -i eth1 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP


Между другото, това не е много добра идея, защото отваря вратички за зли гадове от твоята мрежа да правят DoS атаки. Твърде лесно е ако си в същата мрежа, да отрежеш произволен хост от възможността да установи TCP връзка със сървъра. Ако не си в същата мрежа става по-сложно, защото най-вероятно SYN пакетите с подправен сорс адрес, рутерите по пътя ще ги издропят преди да стигнат до сървъра.

Заради това:

iptables -A INPUT -p tcp -i eth1 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP


Между другото, това не е много добра идея, защото отваря вратички за зли гадове от твоята мрежа да правят DoS атаки. Твърде лесно е ако си в същата мрежа, да отрежеш произволен хост от възможността да установи TCP връзка със сървъра. Ако не си в същата мрежа става по-сложно, защото най-вероятно SYN пакетите с подправен сорс адрес, рутерите по пътя ще ги издропят преди да стигнат до сървъра.

Ако не е въвел конкретния интерфейс наистина може да се бави.

Мерси за инфото. Със сигурност няма да е от въведен грешен интерфейс. Сървърът не е далеч и няма опасност DoS атаки в мрежата.

Мерси за инфото. Със сигурност няма да е от въведен грешен интерфейс. Сървърът не е далеч и няма опасност DoS атаки в мрежата.

Особено ако е частна мрежа (VPN)

@ROKO тая мрежа е у нас. От единия компютър пускам NMAP (вътрешен за мрежата) към другия FTP-то. В мрежата има още два лаптопа и един XBOX - не че те интересува.

Тогава няма как да бъде засегнат от дос атаки :) То е същото пак е частна мрежа