Wenn ich mit nmap die offenen UDP-Ports überprüfe sehe Ports die gar nicht offen sind.
Auf dem Server: --sonne:~# nmap -sU sonne Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on sonne.heaven (192.168.0.1): Port State Protocol Service 9 open udp discard 111 open udp sunrpc 123 open udp ntp 137 open udp netbios-ns 138 open udp netbios-dgm 177 open udp xdmcp 748 open udp ris-cm 1024 open udp unknown 2049 open udp nfs
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
Auf den Client:
thinkpad:~# nmap -sU sonne -p 5555 Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on sonne (192.168.0.1): Port State Protocol Service 5555 open udp rplay
Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds
Port 5555 ist aber nicht auf dem Server offen! Hat jemand eine Idee?
On Wednesday 25 July 2001 23:54, Thomas Guettler wrote:
Wenn ich mit nmap die offenen UDP-Ports überprüfe sehe Ports die gar nicht offen sind.
[cut]
was sagt netstat dazu?
Wenn es nix von den "nicht offenen" Ports anzeigt hast Du Dir wahrscheinlich einen Tojanisches Pferdchen oder sowas an Land gezogen...
Konrad
Hi Reihard, Konrad und alle die mitlesen:
Die Sache ist wirklich komisch. Wenn ich vom Client einen Portscan auf den Server mache sind anscheinend alle UDP Ports offen. Da "nmap -sU -p 5000-5050" nicht vorwärstkommt habe ich mir einen Shell Einzeiler geschrieben, der annzeigt, dass alle Ports offen sind:
[thinkpad=client sonne=server]
thinkpad:~# i=5000; while [ $i -lt 5050 ]; \ do nmap -sU sonne -p $i | grep udp ; let "i=i+1";done
sonne:~> netstat -u -a und sonne:~# lsof -i UDP -n
auf dem Server ausgeführt zeigen mir eindeutig, dass diese Ports nicht offen sind.
Ich glaube ja langsam an einen Bug in nmap, oder ich übersehe hier eine Spezialität von UDP Portscans? Die Ausgaben von "lsof" und einem nmap auf localhost (vom Server aus) sind identisch.
An der Verbindung zwischen Client und Server kann es nicht liegen: Zwischen Client und Server ist nur ein gekreuztes Twisted Pair Kabel. Die Firewall ist ausgeschaltet:
--sonne:~# ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): Chain output (policy ACCEPT):
Noch andere Ideen ausser eine neue nmap Version zu probieren?
On Thu, Jul 26, 2001 at 08:54:56AM +0200, Thomas Guettler wrote:
Ich glaube ja langsam an einen Bug in nmap, oder ich übersehe hier eine Spezialität von UDP Portscans?
Probier doch aus, ob nmap das tut und anzeigt, was du erwartest. Mach nmap auf einen einzelnen fraglich Port und laß einen Sniffer mitlaufen. Dann siehst du was wirklich passiert und ob es deinen Erwartungen entspricht.
Reinhard
Hi Thomas,
On Wed, Jul 25, 2001 at 23:54:42 +0200, Thomas Guettler wrote:
Wenn ich mit nmap die offenen UDP-Ports überprüfe sehe Ports die gar nicht offen sind.
Ich schaetze mal, dass Du per Firewallregeln Pakete mit DENY (ipchains) bzw. DROP (iptables) verwirfst. Bei UDP-Scanning gilt der Port als offen, wenn nichts zurueckkommt (also kein ICMP Destination unreachable).
Hier mal ein Beispiel:
# nmap -sU -p 5555 localhost Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) The 1 scanned port on localhost (127.0.0.1) is: closed Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
# iptables -A INPUT --protocol udp --dport 5555 -j DROP
# nmap -sU -p 5555 localhost Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Interesting ports on localhost (127.0.0.1): Port State Service 5555/udp open rplay Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
Zum Thema ICMP und Scanning gibt es ein sehr gutes Dokument auf http://www.sys-security.com/html/projects/icmp.html
bye, Chris
On Thu, Jul 26, 2001 at 09:58:59AM +0200, Christian Perle wrote:
Hi Thomas,
On Wed, Jul 25, 2001 at 23:54:42 +0200, Thomas Guettler wrote:
Wenn ich mit nmap die offenen UDP-Ports überprüfe sehe Ports die gar nicht offen sind.
Ich schaetze mal, dass Du per Firewallregeln Pakete mit DENY (ipchains) bzw. DROP (iptables) verwirfst. Bei UDP-Scanning gilt der Port als offen, wenn nichts zurueckkommt (also kein ICMP Destination unreachable).
Danke für den Tip. War mir neu. Trotzdem, auf Client wie Server sind keine IP-Filter aktiv. Dazwischen ist nur ein Crossover TP Kabel.
--sonne:~# ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): Chain output (policy ACCEPT):
Hi Thomas,
On Thu, Jul 26, 2001 at 13:21:53 +0200, Thomas Guettler wrote:
Danke für den Tip. War mir neu. Trotzdem, auf Client wie Server sind keine IP-Filter aktiv. Dazwischen ist nur ein Crossover TP Kabel.
--sonne:~# ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): Chain output (policy ACCEPT):
Und pingen usw. koennen sich die Rechner? Nicht, dass vielleicht das Crossover-Kabel schlicht und einfach kaputt ist? Ansonsten kannst Du ja auf beiden Rechnern mal tcpdump oder ethereal laufen lassen (am besten mit Anzeige der MAC-Adresse, -e), um zu sehen, was tatsaechlich an Paketen auf dem Kabel rumschwirrt.
bye, Chris
lug-dd@mailman.schlittermann.de
-
Christian Perle -
konrad.rosenbaum@t-online.de -
Reinhard Foerster -
Thomas Guettler