Nmap e porte filtrate

[Gnomix] · 02-09-2004, 21:41

salve a tutti,
avevo una domanda riguardante nmap:
se io droppo o faccio il reject di tutti tutti i pacchetti sulle porte tcp e udp in ingresso, ma ho attivo servizi sulla porta 22 80 21 come fa a nmap a capire ke cmq c'è dietro un servizio pur essendo "bloccato" da iptables?

non esiste un modo per rendere questi servizi veramente nascosti?

grazie

The X · 03-09-2004, 08:02

Se con iptables impedisci le risposte icmp credo ke darai 1 problema in + anke a nmap...

[Gnomix] · 03-09-2004, 09:43

ho provato a droppare la richiesta ICMO-reply ... ma ora se nmappo l'ip da fuori mi vede sempre i servizi attivi con la differenza che se prima mi veniva "filtrato" ora sta in "closed" ....
e per far sparire pure il closed? esiste un modo?

The X · 03-09-2004, 11:10

Quote:

Originariamente inviato da [Gnomix]
ho provato a droppare la richiesta ICMO-reply ... ma ora se nmappo l'ip da fuori mi vede sempre i servizi attivi con la differenza che se prima mi veniva "filtrato" ora sta in "closed" ....
e per far sparire pure il closed? esiste un modo?

Uhmm... + d closed nn so se si può arrivare ma tokkerebbe sentire qlc del forum + esperto d me in materia ^_^

[Gnomix] · 03-09-2004, 11:22

scusami... ma portare il risultato di una scansione da firewalled a closed porta a vantaggi? o solo il "nome"

The X · 03-09-2004, 11:37

Quote:

Originariamente inviato da [Gnomix]
scusami... ma portare il risultato di una scansione da firewalled a closed porta a vantaggi? o solo il "nome"

Beh, se nn erro Filtred vuol dire ke il servizio c'è ma è dietro firewall mentre closed ke nn c'è servizio....

[Gnomix] · 03-09-2004, 11:40

Quote:

Beh, se nn erro Filtred vuol dire ke il servizio c'è ma è dietro firewall mentre closed ke nn c'è servizio....

bhe ma scusa.. in entrambi casi io nn ho stopppato nessun servizio...

NA01 · 03-09-2004, 14:46

certo, ma nel primo caso nmap lo riesce a vedere, nel secondo no

jb007 · 03-09-2004, 21:40

Quote:

Originariamente inviato da NA01
certo, ma nel primo caso nmap lo riesce a vedere, nel secondo no

mmmm no, non siete sulla giusta strada allora:

Premessa:

per stabilire una connessione tcp si deve: (three-way handshake)
1) client manda pacchetto SYN al server
2) server manda pacchetto SYN/ACK al client
3) client manda pacchetto ACK al server

quando nmap scanna una deteminata porta prova
(se non avete specificato opzioni strane)
esattamente questo.

Solo che dopo aver mandato il pacchetto di SYN può succedere:

1) il server manda SYN/ACK di risposta --> OPEN
2) il server manda RST (rifiuta la connessione) --> CLOSED
3) il server non manda niente (il firewall ha intercettato il pacchetto --> FILTERED

sotto le porte filtered non si sa se la porta è aperta o meno...

mi spiego:

SYS OP IPTABLES(firewall) NMAP
22(ssh) open ||| filtered
23(telnet)closed ||| filtered
25(smtp) open ----- open
80(http) closed ----- closed

[edit] uff lo schema fa schifo.. ho messo i colori per cercare di far capire qualcosa [/edit]

io dopo lo scan so che la 80 è chiusa (ho ricevuto il RST), la 25 aperta (ho ricevuto SYN/ACK) ma della 22 e della 23 non so nulla perchè il firewall ha intercettato le mie richieste...

consiglio di approfondire le vostre conoscenze

magari proprio partendo dalla man di nmap.

bye

[Gnomix] · 03-09-2004, 21:53

tu dici "2) il server manda RST (rifiuta la connessione) --> CLOSED " ma è anche iptables che lo può fare e quindi anche in questo caso può esistere il caso

25(smtp) open ----- closed
80(http) closed ----- closed

se disabilito ICMO-reply... quindi se leggo closed può essere un servizio effettivamente disattivano o meno...

The Katta · 03-09-2004, 22:12

Si,può esserci un servizio attivo su una determinata porta,ma per il reset che viene mandato nmap la vede come closed.

Poi però ci sono le opzioni più mafiose di nmap

[Gnomix] · 03-09-2004, 22:32

Quote:

Originariamente inviato da The Katta
Si,può esserci un servizio attivo su una determinata porta,ma per il reset che viene mandato nmap la vede come closed.

Poi però ci sono le opzioni più mafiose di nmap

si però senza usare flag mafiose di nmap vederla firewalled o closed nn se pò dire nulla o no?

jb007 · 03-09-2004, 22:38

Quote:

Originariamente inviato da [Gnomix]
tu dici "2) il server manda RST (rifiuta la connessione) --> CLOSED " ma è anche iptables che lo può fare e quindi anche in questo caso può esistere il caso

25(smtp) open ----- closed
80(http) closed ----- closed

se disabilito ICMO-reply... quindi se leggo closed può essere un servizio effettivamente disattivano o meno...

si, certo iptables può o ignorare il pacchetto di SYN (-j DROP)
che rifiutarlo con un rst (-j REJECT --reject-with tcp-reset) [mi pare]

ma di solito per rallentare lo scan si opta per un sudolo DROP...

x The Katta: certo... io infatti ho specificato senza parametri

NA01 · 04-09-2004, 09:23

sarà, ma fino a che droppi solo i --syn con le giuste opzioni nmap trova tutto quello che vuoi

[Gnomix] · 04-09-2004, 10:33

Quote:

Originariamente inviato da NA01
sarà, ma fino a che droppi solo i --syn con le giuste opzioni nmap trova tutto quello che vuoi

bhe io ho fatto /sbin/iptables -A INPUT -p tcp -j DROP
/sbin/iptables -A INPUT -p udp -j DROP quindi droppo tutto senza specificare particolari flag..

02-09-2004, 21:41	#1
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	Nmap e porte filtrate salve a tutti, avevo una domanda riguardante nmap: se io droppo o faccio il reject di tutti tutti i pacchetti sulle porte tcp e udp in ingresso, ma ho attivo servizi sulla porta 22 80 21 come fa a nmap a capire ke cmq c'è dietro un servizio pur essendo "bloccato" da iptables? non esiste un modo per rendere questi servizi veramente nascosti? grazie __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

03-09-2004, 08:02	#2
The X Senior Member Iscritto dal: Apr 2003 Città: Rimini Messaggi: 3970	Se con iptables impedisci le risposte icmp credo ke darai 1 problema in + anke a nmap... __________________ Powered by Apple Macbook Pro Retina

03-09-2004, 09:43	#3
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	ho provato a droppare la richiesta ICMO-reply ... ma ora se nmappo l'ip da fuori mi vede sempre i servizi attivi con la differenza che se prima mi veniva "filtrato" ora sta in "closed" .... e per far sparire pure il closed? esiste un modo? __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

03-09-2004, 11:22	#5
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	scusami... ma portare il risultato di una scansione da firewalled a closed porta a vantaggi? o solo il "nome" __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

03-09-2004, 21:53	#10
[Gnomix] Senior Member Iscritto dal: Aug 1999 Messaggi: 470	tu dici "2) il server manda RST (rifiuta la connessione) --> CLOSED " ma è anche iptables che lo può fare e quindi anche in questo caso può esistere il caso 25(smtp) open ----- closed 80(http) closed ----- closed se disabilito ICMO-reply... quindi se leggo closed può essere un servizio effettivamente disattivano o meno... __________________ By [Gnomix] WM www.gnomixland.com Project Manager Founder di http://iptablesweb.sourceforge.net/

03-09-2004, 14:46	#8
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	certo, ma nel primo caso nmap lo riesce a vedere, nel secondo no

03-09-2004, 22:12	#11
The Katta Senior Member Iscritto dal: Jun 2004 Città: Besana Briansssa Messaggi: 521	Si,può esserci un servizio attivo su una determinata porta,ma per il reset che viene mandato nmap la vede come closed. Poi però ci sono le opzioni più mafiose di nmap

04-09-2004, 09:23	#14
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	sarà, ma fino a che droppi solo i --syn con le giuste opzioni nmap trova tutto quello che vuoi

Strumenti
Mostra una versione stampabile Invia questa pagina per email