Автор Тема: Странни резултати с nmap  на debian.  (Прочетена 4027 пъти)

GattaNegra

  • Напреднали
  • *****
  • Публикации: 648
  • Distribution: SoluxOS
  • Window Manager: Gnome
    • Профил
    • WWW
Здравейте,
много извинявайте ако темата не е за тук, просто някак не ми е смешно иначе щях да я плесна в "Хумор".
Знмачи, ситуацията е следната :
Имам аз компютър, на него има ДЕбиан. Firewall-а е написан с IPTABLES обаче беше нещо рехав и реших да го оправя оня ден. Ta  пускам преди да седна да работя един nmap и ми изкарва нормален резултат за моментното състояние на машината :
nmap -sS -T 5 -P0 -O
Примерен код

PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open ssh
53/tcp   open     domain
80/tcp   open     http
111/tcp  open     rpcbind
113/tcp  open     auth
197/tcp  filtered dls
263/tcp  filtered hdap
445/tcp  filtered microsoft-ds
678/tcp  open     unknown
1541/tcp filtered rds2
1723/tcp filtered pptp
2401/tcp open     cvspserver


обаче понеже винаги питам два пъти, накарах един познат да пусне и той и резултатът беше това :
nmap -P0
Примерен код

PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
53/tcp    open     domain
80/tcp    filtered http
111/tcp   open     rpcbind
113/tcp   open     auth
135/tcp   filtered msrpc
136/tcp   filtered profile
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
12345/tcp filtered NetBus
12346/tcp filtered NetBus
17300/tcp filtered kuang2
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master


да де , ама аз никога не бях чувала за
 kuang2, subseven, Trinoo_Master
нито е чувал firewall-а ми . освен че му беше казано
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED -j DROP
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i eth0 -m state --state NEW -j DROP

не бях забранявала нищо друго.
 Тоест чувала съм, но мислех , че се срещат в уиндоус, а не в линукс.
Google  не ми каза нещо смислено -  тоест по това, което намерих да прочета съдя, че компютъра ми е зомбясал ...
Решението, което ми хрумва е да го преинсталирам, и това ще стане съвсем скоро, но ми се иска да знам какво е това и защо е така . Ако може някой да ми "запали лампата" ще съм благодарна.
Активен

Мразя Gnome 3!!!

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Странни резултати с nmap  на debian.
« Отговор #1 -: Apr 11, 2006, 13:41 »
Вторият резултат определено не е на Linux машина... сигурно твоя приятел е объркал IP-то... по скоро вторият резултат ми прилича на Windows с рехав firewall... поне това е моето мнение.
Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 648
  • Distribution: SoluxOS
  • Window Manager: Gnome
    • Профил
    • WWW
Странни резултати с nmap  на debian.
« Отговор #2 -: Apr 11, 2006, 13:44 »
Цитат (never_mind @ Април 11 2006,13:41)
Вторият резултат определено не е на Linux машина... сигурно твоя приятел е объркал IP-то... по скоро вторият резултат ми прилича на Windows с рехав firewall... поне това е моето мнение.

да но приятелят ми ми даде ssh  до машината си  и аз пуснах същия nmap  и ми отговори със същия резултат . а машината Е с debian.  и никога не е виждала windows.
Активен

Мразя Gnome 3!!!

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Странни резултати с nmap  на debian.
« Отговор #3 -: Apr 11, 2006, 13:57 »
GattaNegra, сега като питаш - при мене същата работа.

Сканирам си машината отвън (nmap -P0) и ми излизат всичките портове свързани с SMB/NetBIOS протоколите като filtered, а са си затворени. А IP адреса със сигурност не съм го объркал.

М/у другото при мен е OpenBSD, което ме навежда на мисълта, че някаква врътка със самия nmap има.

Та ако някой има информация - да сподели. '<img'>



Активен

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Странни резултати с nmap  на debian.
« Отговор #4 -: Apr 11, 2006, 14:03 »
Пробвайте с другите опции за OS detection и прочие, и кажете има ли разлика. Защото аз досега само с -P0 не съм си сканирал машината. Оnline сканиране от някой от многото сайтове какво казва?
Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 648
  • Distribution: SoluxOS
  • Window Manager: Gnome
    • Профил
    • WWW
Странни резултати с nmap  на debian.
« Отговор #5 -: Apr 11, 2006, 14:11 »
Цитат (never_mind @ Април 11 2006,14:03)
Пробвайте с другите опции за OS detection и прочие, и кажете има ли разлика. Защото аз досега само с -P0 не съм си сканирал машината. Оnline сканиране от някой от многото сайтове какво казва?

ми дадох и nmap -sS -T 5 -O -P0  и резултата пак така - от моята машина  - първия, от машината на приятеля ми - втория.
онлайн скенерите .. пробвах с един , не помня кой вчера и ми извади отворени 111, 113, 80 порт.
ма аз не му вярвам ..
Активен

Мразя Gnome 3!!!

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Странни резултати с nmap  на debian.
« Отговор #6 -: Apr 11, 2006, 14:38 »
Цитат (GattaNegra @ Април 11 2006,13:02)
nmap -P0
Примерен код

PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
53/tcp    open     domain
80/tcp    filtered http
111/tcp   open     rpcbind
113/tcp   open     auth
135/tcp   filtered msrpc
136/tcp   filtered profile
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
12345/tcp filtered NetBus
12346/tcp filtered NetBus
17300/tcp filtered kuang2
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master

Чакайте малко, тва е абсурдно. При тази команда nmap не би трябвало да сканира толкова високи портове като 27374. Поне така мисля.
Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 648
  • Distribution: SoluxOS
  • Window Manager: Gnome
    • Профил
    • WWW
Странни резултати с nmap  на debian.
« Отговор #7 -: Apr 11, 2006, 14:53 »
Цитат (never_mind @ Април 11 2006,14:38)
Цитат (GattaNegra @ Април 11 2006,13:02)
nmap -P0
Примерен код

PORT      STATE    SERVICE
21/tcp    open     ftp
22/tcp    open     ssh
53/tcp    open     domain
80/tcp    filtered http
111/tcp   open     rpcbind
113/tcp   open     auth
135/tcp   filtered msrpc
136/tcp   filtered profile
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
12345/tcp filtered NetBus
12346/tcp filtered NetBus
17300/tcp filtered kuang2
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master

Чакайте малко, тва е абсурдно. При тази команда nmap не би трябвало да сканира толкова високи портове като 27374. Поне така мисля.

това .. как да кажа ..
машината на приятеля ми е също с дебиан.
аз се ssh като обикновен потребител и давам nmap -P0 xxx.xxx.xxx.xxx
и ми дава описания горе отговор.
а , след това сканирах от още 5 машини и от ТЯХ НЯМА подобен отговор.
според друго мнение обяснението се крие в това, че съм забранила всичко. обаче - дори и да е така , дебиан откъде ще знае kuang2 subseven Trinoo_Master че точно тия портове позлват ?
 
Те май ползват random  портове .  Параноичната ми мисъл реши, че ако някой нещо е направил може и да е задал от къде да се вижда и от къде да не се ... имам предвид доставчици или нещо от сорта.  и изобщо тия трите злини какво ми правят в линукса ?!

Мисля все пак че темата трябваше да я пусна в "напреднали"  ...
Активен

Мразя Gnome 3!!!

  • Гост
Странни резултати с nmap  на debian.
« Отговор #8 -: Apr 11, 2006, 14:59 »
Нереално просто е, замисляли ли сте се някога, че от другото място където се пуска nmap вероятно потребителите са зад NAT-ваща машинка, която прави и ip filtering??

пробвайте (зад NAT на който примерно е филтриран във FORWARD chain-а tcp port 1000, с DROP!'<img'> да сканирате която и да е машина навън. На всичките машини които сканирате ще ви излезе 1000/tcp state: filtered.

Това ще стане поради простата причина, че когато nmap прати tcp пакет със SYN флаг към целта, първия там хоп (NAT-ващата машина) ще го издропи, ще мине някакво време и nmap няма да получи нито SYN-ACK, нито ICMP_PORT_UNREACHABLE, съответно ще си реши че на сканираната машина порт-а е филтриран (което не е нашият случай).

Поради сходни причини (този път вероятно DNAT) отвън изглежда че 21 порт е отворен, докато на сканираната машинка дефакто е филтриран.

Не виждам нищо смешно или нелогично, всеки който си има идея от tcp/ip и знае как nmap сканира и как се извършва NAT-ването ще се сети какво става '<img'>))

А и предполагам вероятно знаете че това което ви изпише нмап от едно стандартно tcp/udp портсканиране в доста случай може да се различава от реалността...поради ред обстоятелства '<img'>
Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Странни резултати с nmap  на debian.
« Отговор #9 -: Apr 11, 2006, 15:01 »
Gatta, гледай сега, принципно при такова сканиране nmap няма как да знае какво точно слуша на порта и това, което излиза в SERVICE полето е услугата, която фигурира на този порт във файла nmap-services (обикновено е /usr/share/nmap/nmap-services).

STATE filtered пък означава, че nmap не успява да определи дали порта е отворен или затворен.

Това, което мен ме гложди е защо разните Microsoft-ски портове излизат filtered при мен, докато останалите си ги дава closed.
Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Странни резултати с nmap  на debian.
« Отговор #10 -: Apr 11, 2006, 15:02 »
gat3way, сега като прочетох какво си писал ми се попроясниха нещата. :)

мерси.
Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 648
  • Distribution: SoluxOS
  • Window Manager: Gnome
    • Профил
    • WWW
Странни резултати с nmap  на debian.
« Отговор #11 -: Apr 11, 2006, 15:05 »
Цитат (Hapkoc @ Април 11 2006,15:01)
Gatta, гледай сега, принципно при такова сканиране nmap няма как да знае какво точно слуша на порта и това, което излиза в SERVICE полето е услугата, която фигурира на този порт във файла nmap-services (обикновено е /usr/share/nmap/nmap-services).

STATE filtered пък означава, че nmap не успява да определи дали порта е отворен или затворен.

Това, което мен ме гложди е защо разните Microsoft-ски портове излизат filtered при мен, докато останалите си ги дава closed.

абе .. и аз тия съм ги чувала .. ма ..
сега какво ми казвате последно - да не се пУаша или ?
тоест -  аз мислях да не я преинссталирам а да я наблюдавам тая машина и да намеря начина да разбера какво се СЛУЧВА на нея - чета логове и мейлове и намкво и не мога да разбера , не излиза нищо съмнително .
Активен

Мразя Gnome 3!!!

  • Гост
Странни резултати с nmap  на debian.
« Отговор #12 -: Apr 11, 2006, 15:37 »
Най-вероятно нищо не се случва на нея. Ако разчиташ единствено на логовете и мейловете обаче за да си сигурна че никой нищо лошо не прави по нея...ммм грешна стратегия '<img'>

Да кажем, че съм някакъв 3v1L 31337 h4x0r там и се сдобия с root достъп на машинката ти - ъъъ има rootkit-ове, които изпълняват това което е в payload-а на ICMP echo получените пакети да речем и връщат (част от) резултата в payload-a на ICMP echo reply отговорите.

Никога с никакво портсканиране няма да можеш да установиш че имаш инсталиран rootkit. Вероятно снифейки трафика докато върша разни престъпления там може и да видиш нещо, знам ли '<img'>

Няма да видиш и никакви връзки в netstat също така...един вид ще ти командвам машинката чрез ping (е айде няма да е с ping щото там pattern-a e ограничен до 16 байта, ама с други хахорски красоти става лесно).

Идеята за това е доста стара и предполагам в гугъл-а ако се разтърси човек ще намери някакви реализации.

Човек да иска да крие rootkits...последния начин по който ще разбереш, че има проблеми е като си гледаш логовете. А и те съвсем спокойно се модифицират от юзърите със съответните права.
Активен

GattaNegra

  • Напреднали
  • *****
  • Публикации: 648
  • Distribution: SoluxOS
  • Window Manager: Gnome
    • Профил
    • WWW
Странни резултати с nmap  на debian.
« Отговор #13 -: Apr 11, 2006, 15:44 »
':xclam:'  '<img'>
е ма да де ама аз подозирам че се случва а не че не се , и искам да знам дали се . и си гледам трафика и нищо интересно не виждам. мисля да изхвърля хард диска.
Активен

Мразя Gnome 3!!!

  • Гост
Странни резултати с nmap  на debian.
« Отговор #14 -: Apr 11, 2006, 15:48 »
Не го изхвърляй, подари ми го '<img'>
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
MPlayer  +  Debian
Настройка на програми
IvanST 7 2075 Последна публикация Feb 15, 2003, 18:55
от IvanST
Nmap
Настройка на програми
axxis 2 1478 Последна публикация Aug 23, 2006, 18:51
от axxis
Nmap - no buffer space availabale
Настройка на програми
0FF1 0 1140 Последна публикация Nov 13, 2006, 19:56
от 0FF1
Как се скриват от nmap ???
Системна Сигурност
Pavlik 13 3467 Последна публикация Apr 11, 2010, 17:07
от nigl
NMAP интересен казус
Настройка на програми
victim70 12 2944 Последна публикация Aug 23, 2013, 23:43
от laskov