Venus AUEB Forum

Online κοινότητα των φοιτητών Πληροφορικής του Ο.Π.Α.
https://venus.cs.aueb.gr/

nmap παράδοξα

https://venus.cs.aueb.gr/viewtopic.php?f=20&t=1161

Page 1 of 1

nmap παράδοξα

Posted: Fri Jan 21, 2005 10:57 am
by fotisaueb
Χαιρετώ


Έχει ασχοληθεί κανείς με το nmap? Αντιμετωπίζω το εξής παράδοξο όταν κάνω scan κάποια συγκεκριμένα με TCP-SYN μέθοδο και μόνο τότε μου εμφανίζει ότι όλες οι πόρτες είναι ανοιχτές όταν εννοώ όλες όλες όσες έχει το Nmap στην λίστα του 1663. Όταν όμως ελέγχω με απλή TCP μέθοδο χωρίς το -sS δηλαδή έχω σωστά αποτελέσματα γιατι συμβαίνει αυτό. Ίσως κάποια κομπίνα του firewall του στόχου?

Posted: Sat Jan 22, 2005 12:38 am
by HdkiLLeR
Ναι είναι απλό,

συνίθως οι Loggers των συστημάτων κάνουν log μια σύνδεση όταν και μόνο πραγματοποιηθεί το 3-way handshake: SYN , SYN - ACK, ACK.

Οπότε κάποτε το sT scan θεωρούνταν μεγάλη μορφή μιας και έστελνες το SYN packet, απαντούσε ο server εάν είχε service ανοιχτό σε εκείνο το port και στην συνέχεια περίμενε στο ack απο εσένα. Ο scanner όμως δεν το έστελνε ποτέ, συνεπώς η σύνδεση δεν γινότανε και η ip σου δεν loggαριζότανε. Εσύ όμως αφού πήρες το syn-ack ήξερες ότι το port ήταν ανοιχτό και έτσι σου έβγαζε τα ωραία σου αποτελέσματα και όλοι ήταν χαρούμενοι. Επειδή όμως αυτά είναι κόλπα lameράδων με ωραία εργαλιάκια/wrappers έχεις το εξής:

Στέλνεις ένα TCP syn packet. Ο server απαντάει(syn-ack) σε κάθε περίπτωση, έχει δεν έχει service σε εκείνο το port και εσύ κάνεις την πάπια(δεν απαντάς αφού έχεις sT mode). Το nmap θεωρεί ότι επειδή πήρες syn-ack έχει ανοιχτό service και στο εμφανίζει(και δεν στέλνει ack για να μην σε loggάρει ο server). Στην πραγματικότητα όμως εάν απάνταγες με ack, προσπαθούσες να ανοίξεις την σύνδεση δηλαδή σε ένα port που δεν υπάρχει service μετά το ack θα σου ερχότανε επιτόπου ένα RST απο τον server για να κλείσει την σύνδεση. Αυτό που κάνει δηλαδή είναι ότι βάζει ένα κέλυφος απο πάνω που απαντάει παντού ώστε να μπερδεύει τους scanners, ενώ εάν όντως προσπαθήσει κάποιος να κάνει real σύνδεση σε μία port να μην μπoρέσει να συνδεθεί εάν δεν τρέχει πραγματικό service(σου κάνει RST το connection).

Posted: Sat Jan 22, 2005 12:21 pm
by fotisaueb
Αν κατάλαβα καλά μου λές ότι υπάρχει κάτι στα συγκεκριμένα pc που αντιμετωπίζουν το sS που απαντάνε σε κάθε ψάξιμο του scanner σε όποια πόρτα. Σωστα?

Αυτό το κάτι τι ακριβώς είναι κάποιο Service ? κάποιο configuration στο firewall?

Posted: Tue Jan 25, 2005 4:29 pm
by HdkiLLeR
Ναι κάπως έτσι...Proggies είναι
All times are UTC+03:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited