sslug-teknik team mailing list archive

["Klavs Klavsen" <ktk@xxxxxxxxxxxxxxxxxxxx>]

On Wed, 09 Aug 2000, Klavs Klavsen wrote:

>> Du kunne også installere et program som portsentry (opdager f.ex. nmap-scans
som
>> ipchains ikke kan opdage og spærrer for ip'en)..
>
>ipchains (eller kernens pakkefilter) kan skam godt opdage disse
>scans. Problemet ligger mere i at acceptere trafik _og_ opdage disse
>scans. En:
>
>ipchains -A input -s xxx.xxx.xxx.xxx/255.255.255.255 -p all -j DENY
>
>klarer alle former for portscans fra den respektive adresse. Men -
>problemet er jo så, at den pågældende adresse får svært ved at kunne
>noget fornuftigt på ens server.
øhh, daaa...
så min mail ud til at være skrevet i simpliciferet form??? - måske gik jeg med
vilje ikke i detaljer?
for som du selv siger.. hvis disse SYN/FIN-scans (etc.) skulle opdages ville man
ikke kunne kommunikere med nogen.. og hvad er så brugen af firewall'en ? - ingen
ønsker en død sten som fw..

>
>Så vidt jeg har "forsket mig frem til", så står og falder det hele på
>SYN flagget. x-mas,null og FIN scans kan som regel gå igennem fordi de
>udnytter et par regler:
>
>Får en lukket port en af disse scans så skal den svare med en RST
>hvorimod en åben port ikke må (RFC 793). Fordi ens pakkefilter normalt
>bare kigger efter SYN, så hopper pakken direkte igennem (fordi du
>accepterer alt der ikke har SYN sat). Man prober altså porten med
>andre flags end SYN og undgår derved pakkefilteret.
>
>NOTE: Windows ignorerer disse typer af probes men det er heller ikke
>for smart da man så temmeligt let kan finde ud af om det er en
>windowsmaskine man "arbejder" med. Heldigvis for windows ignorerer
>visse unixtyper også dette, således at man står tilbage med en gruppe
>af maskiner (og man er alligevel nødt til at OS-trace, hvilket kræver
>en åben port).
>
>--
>jl