sslug-teknik team mailing list archive

Thread
Date

Re: Hacket

To: sslug-teknik@xxxxxxxx
From: Jesper Louis Andersen <jlouis@xxxxxxxxx>
Date: Wed, 9 Aug 2000 15:28:54 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <41256936.002D5710.00@obelix.berlingske-online.dk>; from ktk@berlingske-online.dk on Wed, Aug 09, 2000 at 09:15:13AM +0100
Mail-followup-to: Jesper Louis Andersen <phenix>, sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
User-agent: Mutt/1.2.5i

On Wed, 09 Aug 2000, Klavs Klavsen wrote:

> Du kunne også installere et program som portsentry (opdager f.ex. nmap-scans som
> ipchains ikke kan opdage og spærrer for ip'en).. 

ipchains (eller kernens pakkefilter) kan skam godt opdage disse
scans. Problemet ligger mere i at acceptere trafik _og_ opdage disse
scans. En:

ipchains -A input -s xxx.xxx.xxx.xxx/255.255.255.255 -p all -j DENY

klarer alle former for portscans fra den respektive adresse. Men -
problemet er jo så, at den pågældende adresse får svært ved at kunne
noget fornuftigt på ens server. 

Så vidt jeg har "forsket mig frem til", så står og falder det hele på
SYN flagget. x-mas,null og FIN scans kan som regel gå igennem fordi de
udnytter et par regler:

Får en lukket port en af disse scans så skal den svare med en RST
hvorimod en åben port ikke må (RFC 793). Fordi ens pakkefilter normalt
bare kigger efter SYN, så hopper pakken direkte igennem (fordi du
accepterer alt der ikke har SYN sat). Man prober altså porten med
andre flags end SYN og undgår derved pakkefilteret. 

NOTE: Windows ignorerer disse typer af probes men det er heller ikke
for smart da man så temmeligt let kan finde ud af om det er en
windowsmaskine man "arbejder" med. Heldigvis for windows ignorerer
visse unixtyper også dette, således at man står tilbage med en gruppe
af maskiner (og man er alligevel nødt til at OS-trace, hvilket kræver
en åben port).

-- 
jl

References

Re: Hacket
From: Klavs Klavsen, 2000-08-09