ipchains und stealth port scans

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

ipchains und stealth port scans

Beitragvon quay » Mo 25 Jun, 2001 12:58

hi

ich hab da mal ne frage :

hab auf meinem linux server ipchains laufen (policy DENY, und dienste sind nicht freigegeben).
ausserdem laufen diverse dienste, die aber NUR über mein lokales netz zu erreichen sind.
jetzt hab ich mal aus dem internet so einen port scan durchführe lassen , der sich stealth scan nannte und der hat alle ports auf deinen meine dienste fürs LAN laufen als offen klassifiziert.
dabei stand dann nur noch dass dieser stealth scan sich besonderer techniken bedienen würde um firewalls zu durchdringen.
WIE er das genau macht und wie man abhilfe schafft, stand aber nicht dabei.
hat jemand von euch eine ahnung wie solche stealth scans funktionieren und wie ich mich dagegen absichere ?

--quay
quay
 

RE: ipchains und stealth port scans

Beitragvon Tom » Mo 25 Jun, 2001 13:31

hmm
hast du mal ne url zum ausprobieren??

mfg
tom
Tom
 

RE: ipchains und stealth port scans

Beitragvon Manuel Capellari » Mo 25 Jun, 2001 14:07

gar nicht, gegen portscans kannst du dich nicht wirklich schützen, ebensowenig wie gegen DoS
aber du kannst portsentry laufen lassen, damit werden portscans (auch stealth und xmas) entdeckt und du kannst dem programm sagen, was geschehen soll, wenn ein portscan entdeckt wird

alternativ könntest du kernel 2.4 und iptables drauf tun und statefull inspection verwenden (CONNECTION TRACKING machts möglich

aja ...

so ziemlich jeder der nmap verwendet macht stealth port scans :-)

bye M.
Manuel Capellari
 

RE: ipchains und stealth port scans

Beitragvon quay » Mo 25 Jun, 2001 17:11

hmm.....war nur ein wenig verschreckt.....weil bei dein "einfachen quick port scans" die man da bei manchen sites machen kann, die ports nicht als offen entdeckt wurden......aber eben bei diesem stealth scan schon......

achja...manuel.....wenn ich dich noch was fragen darf.......du hast dem tom vor kurzem mal gesagt du hättest keine probleme damit bibliotheken zu finden.......(du weisst schon.....diese depperten dependencies)
kannst mir sagen wie das machst ?
ich mein.....wenn du da 3 dateien bekommst...die fehlen......woher um alles in der welt findest du so schnell raus zu welchem paket die gehören ??

--quay
quay
 

RE: ipchains und stealth port scans

Beitragvon Manuel Capellari » Mo 25 Jun, 2001 17:23

<HTML>jedes script kiddie kann stealth scannen ... es gibt schon zuviele programme die selbst DAU's benutzten können

... aber keins kann mit nmap mithalten :-)

>achja...manuel.....wenn ich dich noch was fragen dar

dafür gibts ein tool namens rpmfind damit kannst über die kommandozeile die RPM datenbank im internet befragen, bzw. auf der gleichnamigen website kannst auch nach dateien suchen, es wird dir dann jedes rpm paket aufgelistet, dass die lib enthält, du musst nur noch das für deine distribution runter laden

www.rpmfind.net

bye M.</HTML>
Manuel Capellari
 

RE: ipchains und stealth port scans

Beitragvon quay » Mo 25 Jun, 2001 18:50

... aber keins kann mit nmap mithalten :-)
ich weiss.....ich habs selbst auf meiner linux box.....;)

dafür gibts ein tool namens rpmfind......

ahh...alles klar.......das werd ich mir mal runterladen.....thx......

--quay
quay
 

nachtrag rpmfind

Beitragvon quay » Mo 25 Jun, 2001 19:05

ahh....sag mal.....welche version verwendest du ?
ich hab grad 1.5 und 1.4 runtergeladen......die 1.5 verlangt eine lib die nur in rpm version 4 drinn ist (neiiiiiin......aufschrei a la homer simpson, wieder neue dependencies)
und die 1.4 verlangt eine lib die in bzip drin is......
welche rennt bei dir ?...
quay
 

RE: nachtrag rpmfind

Beitragvon Manuel Capellari » Mo 25 Jun, 2001 19:15

[m.capellari@sirius m.capellari]$ rpm -qi rpmfind
Name : rpmfind Relocations: /usr
Version : 1.6 Vendor: Red Hat, Inc.
Release : 5 Build Date: Wed 07 Mar 2001 06:35:08 PM CET
Install date: Fri 22 Jun 2001 05:14:59 PM CEST Build Host: porky.devel.redhat.com
Group : Applications/System Source RPM: rpmfind-1.6-5.src.rpm
Size : 143903 License: W3C Copyright (BSD like).
Packager : Red Hat, Inc. http://bugzilla.redhat.com/bugzilla>
URL : http://rpmfind.net/linux/rpm2html/rpmfind.html
Summary : Finds and transfers RPM files for a specified program.
Description :
Rpmfind will query the local RPM database, or will request the
associated RDF file for a program on a remote database, for
information on a specified program. Specifically, rpmfind will tell
you what packages are needed to install the program to satisfy all
dependencies and the size of the packages (so you can estimate
download time). Rpmfind can then even download the packages for you.
[m.capellari@sirius m.capellari]$


demnach 1.6.5
Manuel Capellari
 

öhm ... bin grad auf was draufgekommen

Beitragvon Manuel Capellari » Mo 25 Jun, 2001 19:21

<HTML>wenn man hier links so im folgenden format angibt, macht das forum automatisch einen link draus :-)

<http://www.irgendwo.com>

hier die probe auf's exempel, <http://www.gnustuff.com></HTML>
Manuel Capellari
 

RE: öhm ... bin grad auf was draufgekommen

Beitragvon Tom » Mo 25 Jun, 2001 23:20

hi

was mir auch sehr gut gefallen hat ist gnorpm (gnome rpm manager)..

muss ich auch mal probieren *g*

http://www.ADSL.at
Tom
 


RE: öhm ... bin grad auf was draufgekommen

Beitragvon Tom » Mo 25 Jun, 2001 23:25

ach geh bitte , heut mach ich irgendwie alles falsch

http://futurezone.orf.at/>

--dafür gibts wieder mehr postings im firewall forum
Tom
 

RE: öhm ... bin grad auf was draufgekommen

Beitragvon Meise » Di 26 Jun, 2001 22:23

kann mir bitte wer die url von diesem "stealth scan " geben ?
Meise
 

RE: öhm ... bin grad auf was draufgekommen

Beitragvon Atahualpa » Mi 27 Jun, 2001 08:09

is ja eigentlich egal wenn du weisst der port ist geschlossen dann kann auch keiner einen connect versuch machen.

auch wenn der scanner anzeigt dass er offen ist und du hast ihn geschlossen was hilfts ihm? Mit der Methode die der scanner verwendet kann er sicher keine Pakete reinschmugglen. Mit einem TCP Connect() steht er dann eh wieder an.

Bei mir zumindest versucht dauernd irgendwer auf port 111 (portmapper).
Lauter SYN Packete kommen da an (nmap -sS wahrscheinlich). Oder 53 (dns).
Aber 111 ist am Haeufigsten.

Der einzige offene Port bei mir ist 113 (auth) aber da laeuft nur nullidentd und ich glaub nich dass der exploits hat :)
Gibts bei <freshmeat.net> glaub ich.

======================================
Wer lust hat kann eh versuchen mich zu scannen.
Meine IP ist: 62.47.32.127

Wichtig!!!
Email schicken an meine Adresse [email protected] und mir schreiben wie euer Name ist, eure IP ist, wann der Start von dem Scan war, welche Ports gescannt wurden und welcher scanner mit welchen Parametern verwendet wurde (Kommandozeile oder GUI Einstellungen). Und dann bitte noch das Ergebnis. Und bitte nicht allzuwahnsinnig vorgehen. d.h.: nicht mehr als 3 scans laufen lassen.
Die email muss max. 8h nach dem Scan bei mir ankommen.

Hier ein Beispiel:
-----------------
Hi,

Name: Heinrich Mustermann
Scanne von: 212.56.35.245
Start: 27.06.2001 9:04
Ports: 21,22,25,53,111,515
Scanner: Scan1: nmap -sS -p 53,111,515
Scan2: nmap -sU -p 53,111
Scan3: nmap -sF -p 21,22,25,53,111
Ergebnis:
Scan1:
// scanner output reinpasten
Scan2:
// output
Scan3:
// output
-------------------

Wenn ich einen Portscan-versuch seh und ich hab keine email von der IP und dem zeugs dann guck ich da nach wo die ip herkommt. Und bei AON hab ich schon gesehen gibts da ne email da kann man portscan versuche von AON Teilnehmern melden. Wird wahrscheinlich bei anderen auch so sein.

Gleich vorweg: Ich hab nmap aber schon mal von meinem LAN aus gegen ipchains laufen lassen. Den SYN Stealth Scan detected ipchains. Und mit den anderen hatte ich auch nicht viel Erfolg. Aber na gut mit nmap hab ich mich noch nicht so beschaeftigt.
Ach ja Ping-requests werden bei mir denied.
===========================================

Wen es freut :)
Ata
Atahualpa
 

RE: öhm ... bin grad auf was draufgekommen

Beitragvon Atahualpa » Mi 27 Jun, 2001 08:13

ach ja um 13:15 werde ich wahrscheinlich von AON autodisconnected. Aber um 13:16 bin ich sicher schon wieder up. Die IP sollte diesselbe sein.

Ata
Atahualpa
 

Nächste

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste