linux-l: Portscanner
Linux Systemberater
aduecker at t-online.de
So Dez 5 15:11:49 CET 1999
1.) Portscanner gibt es zu Hauf, ich benutze nmap aus der SuSE
Distribution. shame on me! zu empfehlen ist auch saint!
2.) Aber bitte : Nur den eigenen Rechner scannen. Niemals andere im
Internet belästigen!
Portscanner benutzt man um zum Beispiel die Sicherheit des eigenen
Rechners zu testen.
Wie man sieht WAR meine Firewall nicht korrekt aufgesetzt. Wohl aber die
letzte Bastion tcpwrapper, der den Zugriff nicht erlaubt hat.
In meiner eigenen Dokumentation zur Firewall hatte ich angemerkt, das
bei Dyn IP unter FW_LOCLAL_NETS IP at ppp0 zu erscheinen hat, dies aber
nicht umgesetzt. Ein zweiter Versuch heute Morgen lieferte keinen
offenen "Well Known Port" mehr.
3.) Beim Verbindungsaufbau wird einem vom syslogd die externe IP Adresse
( Dyn IP ) mitgeteilt unter z. B. ppp0 local adress 193.61.152.2
Diesen kann man dann von einem 2.ten Rechner aus angreifen. (nmap -vv
IP-adresseProvider) Den 2.ten Rechner am besten mit "ifconfig eth0 down"
vom Netz nehmen damit der sich nicht über routen doch noch einklinkt.
4.) Trittbrettfahrer: Die T-online Rechner sind beliebte Scan Opfer. Ich
werde obwohl diese Verbindung nur sporadisch ist, praktisch 1.mal im
Monat von irgendwem gescannt. Programme hiefür sind von jedem Hirni zu
beschaffen und einfach zu bedienen. Ob ein Scan läuft ließe sich durch
überwachen von Internet routern festellen. Tauchen auf deinem Device,
das mit dem Internet verbunden ist viele TCP syn Pakete in der
Reihenfolge aus /etc/services auf, kann man davon ausgehen das ein Scan
läuft, da der normale Verkehr im wesentlichen http, ftp ist. Niemand
würde z. B. 60000 Verbindungen über alle Ports zu einem Rechner aufbauen
wollen. Siehe Scanlog.
Nochmal: Das durchführen von Scans oder das belauschen von IP Paketen
ist nicht unser Job, aber es ist schön die syslog Meldung �"open port
from bla.dip at hacknet.crack nfs:access denied" oder "firewall: denied
1024 packets" zu sehen. Es gibt genug leute die nichts besseres zu tun
zu haben scheinen, als anderen das leben schwer zu machen um dann zu
sagen " ja da hättest du besser aufpassen müssen".
comp.os.linux.security ist voll von solchen Berichten. Gerne auch telnet
host:25 vrfy username. Auch schon gehabt!
Wie nmap nach dem scan sagt wenn es offene ports findet: (Good luck)!
Aber:Linuxer haben Benutzer Rechte, Paßwörter, tcpwrapper, Proxies,
Firewall (Good Luck).
Mehr Informationen über die Mailingliste linux-l