Comprensione dell'output di nmap / spiegazione dell'autore ... (Scapy)

Naviga le tue risposte
2

Ho appena letto questo esempio e la spiegazione (sotto) nel libro di OReilly Security Power Tools (2007) nella sezione 6.3 che è stato scritto dal creatore di Scapy, Philippe Biondi. Penso che l'esempio sia molto interessante, ma non capisco cosa stia dicendo. Qualcuno può chiarire questa miniera d'oro di informazioni a cui si riferisce? 

Here is another example of a tool interpreting a situation:
#nmap 192.168.9.3
Interesting ports on 192.168.9.3:
PORT STATE SERVICE
22/tcp filtered ssh

"Nmap dice che la porta è filtrata, ma questa risposta è stata attivata da un host errore ICMP non raggiungibile inviato dall'ultimo router. In questo contesto, il messaggio ICMP è stato interpretato come Il pacchetto è stato bloccato mentre si dirigeva verso il bersaglio, mentre esso avrebbe dovuto essere interpretato come Il pacchetto doveva essere consegnato, ma l'obiettivo non lo era raggiungibile. Questa situazione si verifica in genere quando una porta è autorizzata a passare un intero Blocco di rete IP mentre non vengono utilizzati tutti gli indirizzi IP. Questa è una miniera d'oro di informazioni quando vuoi creare una backdoor, ma se ti fidi del tuo strumento, non solo lo farà ti manca l'oro, ma perderai anche il mio intero perché Nmap ti fa erroneamente supponiamo che nessuna backdoor possa essere impiantata lì. "   Security Power Tools (2007)

    
posta user584583 06.01.2015 - 19:54
fonte

1 risposta

1

Quindi posso dare una svolta a questo, ma sto essenzialmente indovinando le motivazioni dell'autore, l'unica persona in grado di rispondere definitivamente a questo.

Quello che sembra voler dire è, nel caso di cui sopra il risultato filtrato potrebbe farvi credere che una regola del firewall è a posto bloccare l'accesso alla porta 22 / TCP su 192.168.9.3 in quanto tale, non si potrebbe pensare che la possibilità di utilizzare che ospitano e la porta per i propri servizi (supponendo che sei l'aggressore qui), ma in realtà, l'accesso a tale host non è bloccato, l'indirizzo IP solo che non è stato assegnato.

È vero che per sfruttare al meglio strumenti come nmap, devi capire cosa ti stanno dicendo. "filtrato" per i servizi TCP significa davvero "Non ho ricevuto risposta". Ora, se si sta controllando solo gli host che hanno risposto a qualche tipo di comportamento il ping (il default con nmap) allora che la risposta probabilmente ha un senso, come l'ospite è presente (è risposto a ping) ma non risponde su quella porta (quindi il risultato filtrato).

Nel suo esempio sopra indicherei che la scansione è stata eseguita con -PN o simili in modo tale che nmap esegua la scansione degli host anche senza risposta al ping. In queste circostanze, "filtrato" significa "Non ho niente indietro, quell'host potrebbe o non potrebbe esserci"

    
risposta data 06.01.2015 - 20:38
fonte

Leggi altre domande sui tag

Sicurezza dell'API basata su token su richieste ripetute di nome utente / password Esiste un modo per ottenere una perfetta sicurezza in avanti con un messaggio direzionale?