[linux-l] Erfahrungsbericht: Firewall-Tools

[Wilhelm Dolle]

Moin,

Olaf Radicke schrieb:

> Nun, nmap hat für die 1000 Ports ~15 Min. gebraucht. Ich wollte einfach mal 
> schlafen gehen. Aber fielleicht hat es auch so lange gedauert auf Grund des 
> oben beschriebenen. 

Warum benutzt Du Tools die Du nicht verstehst? Kannst Du mit den 
Ergebnissen überhaupt was anfangen? Was bringt Dir ein abgebrochener 
Scan? nmap fängt nicht unbedingt bei Port 1 an und arbeitet sich dann 
hoch (kann man aber einstellen). Die benötigte Zeit ist eine Funktion 
des von Dir benutzen Scan-Typs und der Art wie Dein Rechner/Paketfilter 
die Pakete rejectet bzw. dropt.

Aus dem Bauch raus vermute ich mal, dass Du Pakete dropst. Darum erhält 
der Scanner keine Antwort, läuft in ein Timeout und kann schlecht 
entscheiden wieso keine Antwort kam. Es geht also (erstmal) davon aus, 
dass das Scan-Paket verlorengegangen ist und sendet es nochmal. 
Ausserdem verringert er die Rate mit der er Pakete rausschickt - denn 
die könnten ja auch wegen der Leitungsüberlastung verlorengegangen sein. 
nmap zeigt Dir sowas mit dem Schalter -v bzw. -vv (verbose) an.

nmap hat ne tolle Hilfe und schon der Aufruf ohne Parameter gibt ne 
Menge Hinweise wie man das Tool benutzen kann.

Ich hab vor zwei Jahren da mal was in der Belug vorgetragen, der Vortrag 
müsste also auf den Webseiten noch rumliegen.

Wenn man jemand schneller scannen möchte, kann er sich ja mal PortBunny 
ansehen:

   http://recurity-labs.com/portbunny/portbunny.html

Da gibts auch Folien und ein Video vom entsprechenden Vortrag auf dem 
24C3 der auch auf das Timing bei nmap eingeht. Ist aber IMHO dann eher 
was für Leute die das beruflich machen ;-)

Herzliche Grüße,

Willi
-- 
Wilhelm Dolle  -  http://www.dolle.net