View previous topic :: View next topic |
Author |
Message |
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Sun Aug 27, 2006 3:25 am Post subject: nmap non capisco sti messaggi?? |
|
|
bella stavo facendo un po di prove con nmap su un mio sito e mi da sto risultato
# nmap -O www.mioSito.com
Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006-08-27 04:56 CEST
Stats: 0:03:24 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 32.49% done; ETC: 05:06 (0:07:04 remaining)
Stats: 0:03:26 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 32.49% done; ETC: 05:06 (0:07:07 remaining)
Stats: 0:03:27 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 32.50% done; ETC: 05:06 (0:07:09 remaining)
naturalemente l'indirizzo lo cambiato ..pero non capisco cosa è sto risultato ..e se come penso che si tratti di un filtro che blocca le scansioni ..come posso avere lo stesso risultato??? |
|
Back to top |
|
|
X-Act! Apprentice
Joined: 22 Nov 2004 Posts: 245 Location: /home/xact/
|
Posted: Sun Aug 27, 2006 3:11 pm Post subject: |
|
|
Il tuo sito è dietro un firewall? _________________ "Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sun Aug 27, 2006 4:29 pm Post subject: Re: nmap non capisco sti messaggi?? |
|
|
tanto per cominciare le prove non si fanno con nmap, ma esistono tool pecifici.
il tuo provider potrebbe giustamente prendersela, nel momento in cui un suo utente si mettere a fare portscan a destra e manca.
quanto ai messaggi... hai problemi a tradurre dall'inglese? |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Sun Aug 27, 2006 8:48 pm Post subject: |
|
|
mm.potresti spiegarmi meglio??' che vl dire che non si fano con nmap?? non serve per fare scansioni??' be allora meglio di quello cosa cia stà??
vabuo cmq quali sono sti programmi che mi interessano?? calcola che non me servono per fare cose illegali ..ma solo per aiutarmi nell mio lavoro ...e dietro aconsenso dell cliente...
cmq...si cio un po di problemi con l'inglese... |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sun Aug 27, 2006 9:27 pm Post subject: |
|
|
vuol dire che i portscan non forniscono nessuna informazione utile circa lo stato di un server, o meglio... se il server è tuo ci sono altri tool che puoi usare che forniscono informazioni più dettagliate e che non violano netiquette né convenzioni di utilizzo della rete. |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Mon Aug 28, 2006 9:02 am Post subject: |
|
|
k.gothmog wrote: | vuol dire che i portscan non forniscono nessuna informazione utile circa lo stato di un server, o meglio... se il server è tuo ci sono altri tool che puoi usare che forniscono informazioni più dettagliate e che non violano netiquette né convenzioni di utilizzo della rete. |
Domanda che non vuole essere polemica ma solo curiosa (e me la sono posta già da tempo): se io voglio controllare lo stato delle porte dall'esterno l'unica è fare una scansione delle porte ? converrebbe pianificare la cosa in anticipo con chi si occupa dell'hosting per evitare incomprensioni e/o denunce (sarò paranoico) ? _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Aug 28, 2006 9:18 am Post subject: |
|
|
k.gothmog
scusami ma non sono daccordo....ciè non capisco ..perche io nmap se lo uso come si deve posso avere abastanzza info...
infatti usando nmap -O io ricavo dei banner che mi permettono di avere abastanzza informazioni dell tipo che sistema operativo usano e altre iformazzioni...
quello che dici te va bene se io faccio dei testi dentro l'area ethernet....ma se volessi vedere cosa la gente riesce a vedere solo con nmap posso avere le idee chiare...
cmq non so cosi bravo da poter affermare che cio raggione....anzzi so abbastanza confuso... |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Mon Aug 28, 2006 6:30 pm Post subject: |
|
|
Io mi trovo daccordo con rota.
Se c'e' la necessita' di vedere quali porte/servizi appaiono aperti dall'esterno una scansione delle porte di una macchina tramite nmap e' un buona indicazione. Vi sono poi altri software piu' complessi (tanto per fare un nome famoso, nessus --> provate a guardare i varii tool sotto /etc/portage/net-analyzer/ ) che fanno questo e anche altre cose, ma bisogna vedere se l'utilizzatore e' in grado di capire l'output e soprattutto se ne ha bisogno.
Per quello che riguarda invece la questione legale sono un poco in dubbio, ho sempre letto da fonti piu' o meno autorevoli pareri contrastanti, penso che non sia illegale eseguire uno scanport per ragioni che possiamo stare qui a discutere (tuttavia preferirei leggere solo di notizie certe, qualora qualcuno ne avesse)
Federico _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
X-Act! Apprentice
Joined: 22 Nov 2004 Posts: 245 Location: /home/xact/
|
Posted: Mon Aug 28, 2006 7:54 pm Post subject: |
|
|
Io trovo nmap molto utile proprio per capire cosa si vede delle mie macchine dall'esterno.
Nota bene: cosa si vede non cosa c'è! Non lascerei mai ad es il SO di un server così facilmente identificabile!
Certo poi dipende da cosa c'è sul server e dal livello di paranoia richiesto... _________________ "Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Mon Aug 28, 2006 8:46 pm Post subject: |
|
|
nmap non è una soluzione
genera solo falsi allarmi sui sistemi di intrusion detection epersonalmente sono d'accordissimo con i provider (pochi purtroppo) che al primo portscan abbattono la connessione o ti infilano in una kill-route list.
per vedere lo stato delle porte aperte esiste netstat che è molto più veloce e veritiero di nmap, che fallisce miseramente in determinate condizioni e può essere ingannato con una facilità estrema |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Tue Aug 29, 2006 4:07 am Post subject: |
|
|
m...interessante.....
se ai voglia mi spieghi come si fanno ste 2 cose ho mi consigli guide !!
Code: |
kill-route list, e come ingannare nmap.... |
cmq....grazie per avermi chiarito alcune cose...
cmq....se ho capito bene te mi stai dicendo come fare dei test nella rete interna.....e quindi me consigli netstat. ..ma se io volessi fare dei test stando fuori dalla rete interna??' allora ritorna il discorsso di prima me tocca usare nmap....e poi lo consigliano in molti per fare sti tipo di test..... |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Aug 29, 2006 5:03 pm Post subject: |
|
|
rota wrote: | cmq....se ho capito bene te mi stai dicendo come fare dei test nella rete interna.....e quindi me consigli netstat. ..ma se io volessi fare dei test stando fuori dalla rete interna??' allora ritorna il discorsso di prima me tocca usare nmap....e poi lo consigliano in molti per fare sti tipo di test..... |
non devi fare test sulla rete esterna
netstat ti dice quali servizi hanno fatto il bind sulle interfacce
se un servizio ascolta SOLO su localhost non risponderà mai a richieste che arrivano alle altre interfacce
se è in ascolto su eth0 non risponderà mai su quelle che arrivano da eth1
e non può essere altrimenti, a meno che tu non creda nei miracoli
se non hai accesso alla macchina su cui fare il test probabilmente è perché l'amministratore non te lo vuole dare e quindi non vuole che tu faccia dei test quindi fanno bene quelli che chiudono tutte le connessioni verso gli indirizzi IP che fanno portscan
quelli che consigliano di usare nmap per fare test ignorano l'esistenza di tutto quanto scritto sopra, il che equivale ad un'ammissione di incapacità.
una cosa su tutte: la scansione con nmap impiega da qualche decondo a molti minuti e ancora non mi da nessun risultato per nulla affidabile specie se si è dietro un firewall o se il sistema bersaglio si comporta in determinati modi. netstat fornisce risultati esatti e lo fa in modo istantaneo
fine del discorso
X-Act! wrote: | Io trovo nmap molto utile proprio per capire cosa si vede delle mie macchine dall'esterno.
Nota bene: cosa si vede non cosa c'è! Non lascerei mai ad es il SO di un server così facilmente identificabile! |
e perché mai? quali vantaggi ti da questa cosa?
dopo che ti fai identificare come windows cosa succede? niente, credo
non è sicuramente con questi trucchi che si possono aggirare exploit del codice php o di mod_ssl o cose simili
e poi che senso ha, quando i servizi stessi si presentano con una server string che contiene anche il nome del sistema operativo? qui non si tratta di paranoia, ma di giochetti inutili che danno finta sicurezza.
presentarsi in modo corretto certe volte può essere fondamentale |
|
Back to top |
|
|
X-Act! Apprentice
Joined: 22 Nov 2004 Posts: 245 Location: /home/xact/
|
Posted: Tue Aug 29, 2006 7:11 pm Post subject: |
|
|
Mi autoquoto:
X-Act! wrote: | Certo poi dipende da cosa c'è sul server... |
Non sta certo in questo la sicurezza di una macchina! _________________ "Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Aug 29, 2006 7:28 pm Post subject: |
|
|
X-Act! wrote: | Mi autoquoto:
X-Act! wrote: | Certo poi dipende da cosa c'è sul server... |
Non sta certo in questo la sicurezza di una macchina! |
fosse anche il server di una banca... cosa guadagno nascondendo nome e versione del sistema?
non è che attacchi ed intrusioni falliscono perché non si conosce il nome
se uno non è capace di configurare i servizi gli bucano la macchina anche se questa non si presenta
se il sistema è ben configurato è ugualmente sicuro sia che si presenti con il suo nome, sia che si presenti come Giovanni Rana |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Wed Aug 30, 2006 12:28 am Post subject: |
|
|
m...vabuo...abbiamo ideei diverse ..francamente sono poche le cose con qui sono daccordo con te...(sono daccordo sull fatto di ingannare nmap) ma per il resto non mi convince tanto ..nmap è un valido tool di scansione...e poi ricavare banner dove mi dicono che Os gira mi è utile...metti che voglio sapere su quale ip gira il firewall ecc se becco una macchina BSD parto col presuposto che sia il firewall ..e se becco windowss...di certo è un server DMB( almeno con alcuni server delle telecom ) ..vabuo mo ho fatto esempi dell cavolo ..che pero mi aiutano a capire come è impostata la rete di una azzienda ecc...e poi netstat non mi convince tanto ...perche io parto dell'ideea che tutto quello che mi dicono i test che faccio dentro la rete interna non sono veriteri all 100%...cmq non so tanto esperto di sicurezza e di altre cose..quindi la chiudo qui....grazie per avermi chiarito alcune cose...( mo devo solo verificarle..) |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Aug 30, 2006 8:29 am Post subject: |
|
|
Come ogni volta in cui leggo un post di k, dopo aver scremato la sua "ruvidità" , trovo sempre spunti interessanti di riflessione che in genere mi portano a correggere idee sbagliate che avevo.
Mi viene però in mente un caso: se nella mia macchina fosse installato un rootkit probabilmente sfuggirebbe ad ogni scansione interna (se fosse fatto bene) e quindi solo dall'esterno potrei sapere se esiste una porta aperta ... certo se il rootkit implementa anche un server knock allora anche una scansione dall'esterno risulta inutile (oddio come faccio a sapere se ho un rootkit installato ?!!?!?!? scusate, a volte mi faccio prendere dalla paranoia).
Un test dall'esterno in casi più reali penso possa aiutarmi a valutare se il firewall è ben configurato ma non avendo mai implementato firewall complessi potrei aver detto una cavolata. _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
makoomba Bodhisattva
Joined: 03 Jun 2004 Posts: 1856
|
Posted: Wed Aug 30, 2006 9:19 am Post subject: |
|
|
k.gothmog wrote: | nmap non è una soluzione
genera solo falsi allarmi sui sistemi di intrusion detection epersonalmente sono d'accordissimo con i provider (pochi purtroppo) che al primo portscan abbattono la connessione o ti infilano in una kill-route list. |
è un discorso che può avere senso quando sei in hosting, non certo se il server è tuo.
con un accesso alla macchina, ovviamente è molto più comodo utilizzare netstat/lsof per sapere quali sono i servizi attivi.
se però stai configurando un firewall/nids, netstat non ti serve a nulla, mentre nmap si rivela un tool molto comodo per fare testing. _________________ When all else fails, read the instructions. |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Wed Aug 30, 2006 10:41 am Post subject: |
|
|
[quote="k.gothmog]fosse anche il server di una banca... cosa guadagno nascondendo nome e versione del sistema?
non è che attacchi ed intrusioni falliscono perché non si conosce il nome[/quote]
E' vero, ma rompi ancora un po' di piu' le scatole a chi produce l'attacco. E' piu' facile se e' tutto alla luce del sole mentre le cose meno ovvie scoraggiano quella parte di attaccanti della domenica che mirano all'obbiettivo piu' semplice. _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Aug 30, 2006 12:01 pm Post subject: |
|
|
federico wrote: | [quote="k.gothmog]fosse anche il server di una banca... cosa guadagno nascondendo nome e versione del sistema?
non è che attacchi ed intrusioni falliscono perché non si conosce il nome |
E' vero, ma rompi ancora un po' di piu' le scatole a chi produce l'attacco. E' piu' facile se e' tutto alla luce del sole mentre le cose meno ovvie scoraggiano quella parte di attaccanti della domenica che mirano all'obbiettivo piu' semplice.[/quote]
Mi sembra tanto la "windows way" ovvero la famigerata "security trought obscurity" _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
X-Act! Apprentice
Joined: 22 Nov 2004 Posts: 245 Location: /home/xact/
|
Posted: Wed Aug 30, 2006 4:08 pm Post subject: |
|
|
Secondo me al giorno d'oggi ci sono due tipi di persone, che i giornali amano tanto racchiudere insieme nella definizione di hacker, che potrebbero attaccare una macchina su internet e dai quali pertanto un addetto alla sicurezza dovrebbe "difendersi":
- la prima è quella di coloro che decidono prima quale macchina attaccare (ad es. il mio sito web perchè io gli sto antipatico) e dopo si ingegnano a capire cosa c'è su quella macchina e cosa possono usare per entrate. Se sono più bravi di me magari ci riescono pure e in questo caso (indipendentemente dai loro scopi) si meritano il mio rispetto da un punto di vista esclusivamente tecnico. Per fare questo hanno probabilmente studiato a lungo ed hanno grande esperienza, sono mossi dai più svariati moventi (dalla delinquenza pura ai più alti ideali) e sono il motivo per cui le macchine devono essere "sicure".
- la seconda è quella di chi, al contrario, sceglie prima con cosa entrare magari perchè ha appena scoperto l'ultimo exploit della tal versione di quel programma che gira sul tal SO e poi parte per tutta internet alla ricerca di una macchina che sia vulnerabile proprio a quello e quando magari la trova è un server coreano che non sapresti dire neanche di che tratta. In questa categoria rientrano i ragazzini che leggono le riviste di hacker in edicola, quelli che pensano che dire di essere un hacker ti fa apparire fico e le donne cascano ai tuoi piedi, le fantomatiche sigle di gruppi hacker che si fanno ridicoli siti su hosting gratuiti e li riempiono solo di teschi dimostrando che non conoscono neanche l'html, ecc.
Hanno ovviamente conoscenze teniche notevolmente inferiori ai precendeti e i loro motivi sono decisamente meno profondi. Fanno ne più e ne meno quello che può fare uno script.
Ora se questi giochetti di cui parliamo (tipo nascondere il SO) NON rendono una macchina sicura e quindi NON ti proteggono in nessun modo dai "pericoli" che possono venire dai primi, sicuramente riducono parecchoi i "fastidi" che vengono dai secondi.
Se questi sono i cattivi, dall'altra parte ci sono i buoni, e anche qui, purtroppo, di due categorie:
- gli amministratori che applicano la
Kernel78 wrote: | ... "windows way" ovvero la famigerata "security trought obscurity" |
E' come se lasciassero la porta di casa aperta e non dicessero a nessuno dove abitano: prima o poi verranno derubati!
- all'opposto ci sono "quelli bravi", quelli che, come k.gothmog, sanno di cosa tratta il lavoro che svolgono. Loro si montano prima la porta blindata a prova di buldozer e poi danno a tutti il proprio indirizzo, tanto sanno che nessuno potrà mai entrare.
Io sono convinto, per restare nell'esempio, che la porta blindata sia d'obbligo, mentre tenere nascosto l'indirizzo non serve quasi a niente. Per quel "quasi" qualche volta l'ho fatto, non ho mai basato la mia sicurezza su quello, ne ho dormito per quello sonni più tranquilli, ma l'ho fatto e non mi sento di aver sbagliato. Infondo costa così poco...
P.S. Mi sa che siamo un po' OT rispetto all'argomento iniziale del thread...
P.S.2 Ma perchè i miei post sono sempre così chilometrici?? _________________ "Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Wed Aug 30, 2006 4:52 pm Post subject: |
|
|
federico wrote: | E' vero, ma rompi ancora un po' di piu' le scatole a chi produce l'attacco. E' piu' facile se e' tutto alla luce del sole mentre le cose meno ovvie scoraggiano quella parte di attaccanti della domenica che mirano all'obbiettivo piu' semplice. |
uhm... non sono del tutto d'accordo
come hai detto tu stesso, si tratta di "attaccanti della domenica", che in fondo nn possono ptodurre grande danno se non riempire i log con registrazioni che sono solo fastidiose. non mi va di sprecare tempo per loro. vale la pena di investire tempo per proteggersi da quelli bravi davvero, e a quelli non gliene frega niente di chi dice di essere il tuo sistema.
quoto Kernel78. Security by Obscurity è una falsa sicurezza
@X-Act!:
uhm... il tuo ultimo post mi piace parecchio. personalmente credo che sia un ragionamento corretto (più del primo)... ma per carità, si tratta di opinione personale
@Kernel78:
non sono sicuro di avere capito bene il tuo ragionamento, ma se arrivi ad avere un rootkit non sarà facile rilevarlo né con netstat, né con nmap, né con altro. i rootkit oscurano tutto quello che fanno sotto ogni punto di vista
mi è capitato una volta solo di trovarne uno. ho staccato la spina e ho formattato tutto. personalmente non vedo altra soluzione |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Wed Aug 30, 2006 11:30 pm Post subject: |
|
|
m...spero che dopo tutto quello che ho detto non mi prendiate per un lamer....perche io sto facendo solo domande per capire alcuni concetti di sicurezza ecc....non ci tengo a essere il cosidetto attancante della domenica..anche perche non mi interessa fare quelle cose...ma fare esperienzza nell mio lavoro .... |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Thu Aug 31, 2006 4:42 am Post subject: |
|
|
cmq volevo ringrazziarti .... |
|
Back to top |
|
|
GiRa l33t
Joined: 07 Apr 2005 Posts: 717
|
Posted: Thu Aug 31, 2006 9:17 am Post subject: |
|
|
Io uso nmap solo per configurare gli IDS!
Provo le varie scansioni e vedo se vengono ammazzate correttamente. |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Thu Aug 31, 2006 4:28 pm Post subject: |
|
|
GiRa wrote: | Io uso nmap solo per configurare gli IDS!
Provo le varie scansioni e vedo se vengono ammazzate correttamente. |
appunto
@Rota:
voler capire va benissimo, ma di fatto quello è un comportamento da lamer.
se vuoi accettare un consiglio, io cambierei modo. i tool necessari a lavorare bene e meglio ti sono stati indicati
sta a te decidere se accettare il consiglio o perseguire la tua strada. si tratta di scelte personali |
|
Back to top |
|
|
|