View Full Version : Nmap e porte filtrate
[Gnomix]
02-09-2004, 21:41
salve a tutti,
avevo una domanda riguardante nmap:
se io droppo o faccio il reject di tutti tutti i pacchetti sulle porte tcp e udp in ingresso, ma ho attivo servizi sulla porta 22 80 21 come fa a nmap a capire ke cmq c'è dietro un servizio pur essendo "bloccato" da iptables?
non esiste un modo per rendere questi servizi veramente nascosti?
grazie
Se con iptables impedisci le risposte icmp credo ke darai 1 problema in + anke a nmap...
[Gnomix]
03-09-2004, 09:43
ho provato a droppare la richiesta ICMO-reply ... ma ora se nmappo l'ip da fuori mi vede sempre i servizi attivi con la differenza che se prima mi veniva "filtrato" ora sta in "closed" ....
e per far sparire pure il closed? esiste un modo?
Originariamente inviato da [Gnomix]
ho provato a droppare la richiesta ICMO-reply ... ma ora se nmappo l'ip da fuori mi vede sempre i servizi attivi con la differenza che se prima mi veniva "filtrato" ora sta in "closed" ....
e per far sparire pure il closed? esiste un modo?
Uhmm... + d closed nn so se si può arrivare ma tokkerebbe sentire qlc del forum + esperto d me in materia ^_^
[Gnomix]
03-09-2004, 11:22
scusami... ma portare il risultato di una scansione da firewalled a closed porta a vantaggi? o solo il "nome"
Originariamente inviato da [Gnomix]
scusami... ma portare il risultato di una scansione da firewalled a closed porta a vantaggi? o solo il "nome"
Beh, se nn erro Filtred vuol dire ke il servizio c'è ma è dietro firewall mentre closed ke nn c'è servizio....
[Gnomix]
03-09-2004, 11:40
Beh, se nn erro Filtred vuol dire ke il servizio c'è ma è dietro firewall mentre closed ke nn c'è servizio....
bhe ma scusa.. in entrambi casi io nn ho stopppato nessun servizio...
certo, ma nel primo caso nmap lo riesce a vedere, nel secondo no ;)
Originariamente inviato da NA01
certo, ma nel primo caso nmap lo riesce a vedere, nel secondo no ;)
mmmm no, non siete sulla giusta strada allora:
Premessa:
per stabilire una connessione tcp si deve: (three-way handshake)
1) client manda pacchetto SYN al server
2) server manda pacchetto SYN/ACK al client
3) client manda pacchetto ACK al server
quando nmap scanna una deteminata porta prova
(se non avete specificato opzioni strane)
esattamente questo.
Solo che dopo aver mandato il pacchetto di SYN può succedere:
1) il server manda SYN/ACK di risposta --> OPEN
2) il server manda RST (rifiuta la connessione) --> CLOSED
3) il server non manda niente (il firewall ha intercettato il pacchetto --> FILTERED
sotto le porte filtered non si sa se la porta è aperta o meno...
mi spiego:
SYS OP IPTABLES(firewall) NMAP
22(ssh) open ||| filtered
23(telnet)closed ||| filtered
25(smtp) open ----- open
80(http) closed ----- closed
uff lo schema fa schifo.. ho messo i colori per cercare di far capire qualcosa
io dopo lo scan so che la 80 è chiusa (ho ricevuto il RST), la 25 aperta (ho ricevuto SYN/ACK) ma della 22 e della 23 non so nulla perchè il firewall ha intercettato le mie richieste...
consiglio di approfondire le vostre conoscenze :)
magari proprio partendo dalla man di nmap.
bye
[Gnomix]
03-09-2004, 21:53
tu dici "2) il server manda RST (rifiuta la connessione) --> CLOSED " ma è anche iptables che lo può fare e quindi anche in questo caso può esistere il caso
25(smtp) open ----- closed
80(http) closed ----- closed
se disabilito ICMO-reply... quindi se leggo closed può essere un servizio effettivamente disattivano o meno...
The Katta
03-09-2004, 22:12
Si,può esserci un servizio attivo su una determinata porta,ma per il reset che viene mandato nmap la vede come closed.
Poi però ci sono le opzioni più mafiose di nmap :D
[Gnomix]
03-09-2004, 22:32
Originariamente inviato da The Katta
Si,può esserci un servizio attivo su una determinata porta,ma per il reset che viene mandato nmap la vede come closed.
Poi però ci sono le opzioni più mafiose di nmap :D
si però senza usare flag mafiose di nmap vederla firewalled o closed nn se pò dire nulla o no?
Originariamente inviato da [Gnomix]
tu dici "2) il server manda RST (rifiuta la connessione) --> CLOSED " ma è anche iptables che lo può fare e quindi anche in questo caso può esistere il caso
25(smtp) open ----- closed
80(http) closed ----- closed
se disabilito ICMO-reply... quindi se leggo closed può essere un servizio effettivamente disattivano o meno...
si, certo iptables può o ignorare il pacchetto di SYN (-j DROP)
che rifiutarlo con un rst (-j REJECT --reject-with tcp-reset) [mi pare]
ma di solito per rallentare lo scan si opta per un sudolo DROP...
x The Katta: certo... io infatti ho specificato senza parametri :D :D
sarà, ma fino a che droppi solo i --syn con le giuste opzioni nmap trova tutto quello che vuoi ;)
[Gnomix]
04-09-2004, 10:33
Originariamente inviato da NA01
sarà, ma fino a che droppi solo i --syn con le giuste opzioni nmap trova tutto quello che vuoi ;)
bhe io ho fatto /sbin/iptables -A INPUT -p tcp -j DROP
/sbin/iptables -A INPUT -p udp -j DROP quindi droppo tutto senza specificare particolari flag..
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.