Nmap

[dj_oko]

Znajomy powiedział mi, ze wprowadził na swoim desktopie jakieś wymiatajce zabezpieczenie zaporopodobne. Dał mi IP do potraktowania nmapem. Ale:

Note: Host seems down. If it is really up, but blocking our ping probes, try -P0<BR>Nmap finished: 1 IP address (0 hosts up) scanned in 3.201 seconds

Sprawdziłem u siebie - bez usług i:

<BR>[root@atari-desktop ~]# nmap -O -F localhost
Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-23 19:27 CEST
Warning:  OS detection for 127.0.0.1 will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1256 scanned ports on atari-desktop (127.0.0.1) are closed<BR>Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 6.745 seconds

 

No niby cisza i nie odpowida na pingi wszystkie inne pierdoly, ale przy skanowaniu portów jeszcze go widać! Czy da się z tym coś zrobić? Czytałem manuala do iptables, niestety nic z niego nie wywnioskowałem. Dzięĸuję

[bambus]

Nie uważam się za eksperta w tej dziedzinie, ale jesli chcesz żeby hosta nie wykrył nmap to musisz go odłączyć od sieci.

Poczytaj troszkę o podstawach TCP/IP i flagach dowiesz się dlaczego.

 

Pozdrawiam

[@WalDo]

Wszystko co napisałem poniżej jest tylko efektem moich przemyśleń inspirowanych lekturą niezliczonych tutoriali w sieci, więc prośba do fachowców, żeby w czasie lektury osłaniali czymś usta, bo mogą opluć monitor ze śmiechu

 

Poczytaj troszkę o podstawach TCP/IP i flagach dowiesz się dlaczego.

A odrzucenie absloutnie wszystkich połączeń wchodzących (-j DROP zamiast -j REJECT) oraz zablokowanie wszelkich pingów nie pomoże?

U mnie skan z zewnątrz po wszystkich 64k portów nie daje żadnej odpowiedzi. Oczywiście mam jeszcze kilka reguł dodanych na różne kombinacje typów pingów itp duperele wyszukane w sieci. Nie będę się tu wymądrzał, ale całkowite zablokowanie INPUT (poza ESTABLISHED i RELATED) powinno chyba dać efekt o jakim pisze dj_oko. Oczywiście to wszystko przy założeniu (niespełnionym zazwyczaj ), że nikt się z tego kompa nie włóczy po sieci, bo wtedy oczywiście nmap może i nic nie pokaże, ale ktoś nasłuchujący ruch w sieci zauważy pakiety idące do "wyłączonego" komputera.

 

@dj_oko pamiętaj, że robiąc nmap na localhost (interfejs lo) wynik jest nieco inny niż przy skanowaniu z zewnątrz (np. interfejs eth0 czy wlan0 czy przez co tam kto wychodzi na świat). Ja u siebie mam np. regułę

iptables -A INPUT -i lo -j ACCEPT

co powoduje, że nmap po localhost pokazuje mi zawsze otwarty jakiś "wysoki" port (potrzeby systemu). Jednak z zewnątrz wszelkie pytania (wszystkie typy i kombinacje typów pingów) idą na -j DROP

Jak chcesz się z tym bawić, to polecam skanowanie przez stronę http://www.grc.com/default.htm (trzeba wybrać mniej więcej w połowie strony w dziale "Hot Spots" link "Shields-Up").

Podstawą jest jednak zapoznanie się i zrozumienie działania iptables (ze szczególnym naciskiem na opcję --tcp-flags oraz --state).

 

 

[dj_oko]

A odrzucenie absloutnie wszystkich połączeń wchodzących (-j DROP zamiast -j REJECT) oraz zablokowanie wszelkich pingów nie pomoże?

No właśnie takie sa u mnie reguły zapory... Tak samo z established i related. Shields-Up pokazuje wszystkie porty jako stealth

[petherson]

Nie bardzo rozumiem :

Note: Host seems down. If it is really up, but blocking our ping probes, try -P0<BR>Nmap finished: 1 IP address (0 hosts up) scanned in 3.201 seconds

To wyskoczyło Ci po skanowaniu machiny Twojego kumpla, tak? Czyli jak jest tu napisane, żeby czegokolwiek się dowiedzieć o tym IP, to nie możesz go pingować, więc trzeba użyć opcji

-P0

=> P<zero> nie o. Brak odpowiedzi na ping można też łatwo wyłączyć.

A tak z ciekawości co Ettercap na zabezpieczenia Twojego kumpla?

 

[dj_oko]

Ettpercapem nie sprawdzałem, gość zwinął interes i wrócił na Windows. To, o czym mówił, to był komputer która ma gdzieś robić za serwer.....

 

Dzięĸuję wszystkim za odpowiedzi.