Scan di Nmap

[in origine questo era un reject.. non mi ricordo pero' se ne avevamo gia'
 discusso in lista, per cui posto "pubblicamente"]

Dunque.. poiche' il tipo di scan 'udp' (-sU) in realta' si basa su un
controllo "inverso" (non essendo un protocollo connesso), la porta viene
segnalata "open" quando non si hanno risposte da parte del server remoto ad
un pacchetto udp vuoto inviato alla tal porta.

Viene segnalata "closed" qualora venga ricevuto un icmp port unreachable
dallo stack remoto (come da rfc) e viene segnalata filtered qualora venga
ricevuto un icmp admin prohibited filter _oppure_ quando non si hanno
risposte da parte del server remoto[*] (perche' potrebbero esserci
router/firewall/etc.)

E' quindi chiaro che bisogna capire (con un dump del traffico sotto mentre
si fa lo scan, obbligatorio quando si fanno queste operazioni) per quale
motivo risultino "open".

Il tutto e' documentato nella man page di nmap, sul sito di fyodor
(www.insecure.org) o sull'ottimo "network scanning techniques"   
(http://www.sys-security.com/html/papers.html)
inoltre, "mixando -sT e -sU non ricordo cosa succeda (mi pare che, nella
2.54betaxx semplicemente prenda per buono il secondo parametro -s<qualcosa>,
mentre nelle release successive si possono anche fare scan tcp ed udp
insieme (cosa cmq non consigliabile per tutta una serie di motivi).  

[*] cosiccome per la "open" (!)

bye,
Koba (moderatore)

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense  
 --
free advertising: www.openbsd.org - Multiplatform Ultra-secure OS

--- Enclosed, please find the posted message.
Date: Wed, 18 Dec 2002 19:48:35 +0100
From: Sereni Maurizio <rizio<at>database.it>
Subject: Scan di Nmap

Salve a tutti 
qualcuno pu? spiegarmi l'output di nmap (nmap -P0 -sT -sU
xxx.xxx.xxx.xxx) allegato ? Il server su cui ? stato eseguito ? un linux
con RH 7.3 e iptables, ed eroga servizi di Appletalk, Samba con Winbind
e Proxy (con squid) attraverso un modem ISDN interno.
Da premettere che lanciando la stessa scansione sull'ip pubblico non
ottengo nessuna porta aperta (questo penso che sia dovuto anche a causa
del fatto che non c'erano connessioni http aperte).

Starting nmap V. 2.54BETA34 ( www.insecure.org/nmap/ )
Interesting ports on pippo.intranet.it (10.10.10.10):
(The 1550 ports scanned but not shown below are in state: filtered)
Port       State       Service
1/udp      open        tcpmux                  
2/udp      open        compressnet             

[.. tagliato elenco ..]

Nmap run completed -- 1 IP address (1 host up) scanned in 905 seconds

la sequela ? praticamente uguale anche nella parte tagliata che
comprende quasi tutte le porte.
Vi chiedo scusa in anticipo perch? ho eseguito anche un "netstat -an" ma
riesco a postare il risultato; comunque risultavano aperte le normali
porte dei servizi che ci girano pi? altre due che sono: la 6050, la
32794 e la 20011.

Grazie ancora e scusate la lunghezza.
Rizio

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List