|
|
 | Hvilken service/proces bruger hvilken port~
Fra : Madsen |
Dato : 31-12-02 15:00 |
|
Hej,
Er der nogen der kender et rimelig let tilgængeligt program som kan
vise mig hvilken service der bruger hvilken port under Win2000/XP?
Efter sigende skulle rpcdump fra:
< http://razor.bindview.com/tools/desc/rpctools1.0-readme.html> kunne
klare det, men jeg kan ikke rigtig få det til at fungere.
TCPView fra Sysinternals er ret genial, synes jeg, men det kan ikke
vise mig hvilken service der lytter på TCP 1026. Der står bare
System:8 ud for processen i TCPView, men hvis jeg højreklikker på
processen og vælger 'Proces Properties' så får jeg bare en 'Unable
to query properties for System:8'.
Ifølge < http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en>
- skulle det være Task Scheduler service (Schedule) som bruger TCP
1026 under Win2000, men den service kører ikke her, så det kan ikke
være den.
Som et tillægsspørgsmål vil jeg lige høre om der er nogen der ved
hvad MsgSys.exe egentlig gør. Den lytter på TCP port 38037 og hedder
CBA - Message System fra Intel Corporation. Jeg har søgt lidt på
Google, men har indtil videre ikke kunne finde noget info om den.
Godt nytår.
--
Med venlig hilsen
Madsen.
| |
 Ole Guldberg Jensen (31-12-2002)
| Kommentar
Fra : Ole Guldberg Jensen |
Dato : 31-12-02 16:13 |
| | |
Arne Schwerdtfegger (31-12-2002)
| Kommentar
Fra : Arne Schwerdtfegger |
Dato : 31-12-02 18:04 |
|
Madsen <nospam@madsen.tdcadsl.dk> wrote in
news:Xns92F598878E5D0.thomas@madsen.tdcadsl.dk:
> Er der nogen der kender et rimelig let tilgængeligt program som kan
> vise mig hvilken service der bruger hvilken port under Win2000/XP?
google fport
--
Knud
| |
Lasse Reichstein Nie~ (31-12-2002)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 31-12-02 19:55 |
|
Arne Schwerdtfegger <knud@INVALIDskodliv.dk> writes:
> Madsen <nospam@madsen.tdcadsl.dk> wrote in
> news:Xns92F598878E5D0.thomas@madsen.tdcadsl.dk:
>
> > Er der nogen der kender et rimelig let tilgængeligt program som kan
> > vise mig hvilken service der bruger hvilken port under Win2000/XP?
>
> google fport
eller <URL: http://www.sysinternals.com/ntw2k/source/tcpview.shtml>
Mit første hit på google da jeg ledte efter noget lignende.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
 Arne Schwerdtfegger (31-12-2002)
| Kommentar
Fra : Arne Schwerdtfegger |
Dato : 31-12-02 20:37 |
|
Lasse Reichstein Nielsen <lrn@hotpop.com> wrote in
news:u1guvx20.fsf@hotpop.com:
>> > Er der nogen der kender et rimelig let tilgængeligt program som kan
>> > vise mig hvilken service der bruger hvilken port under Win2000/XP?
>>
>> google fport
>
> eller <URL: http://www.sysinternals.com/ntw2k/source/tcpview.shtml>
> Mit første hit på google da jeg ledte efter noget lignende.
Madsen <nospam@madsen.tdcadsl.dk> wrote in
news:Xns92F598878E5D0.thomas@madsen.tdcadsl.dk:
TCPView fra Sysinternals er ret genial, synes jeg, men det kan ikke
vise mig hvilken service der lytter på TCP 1026. Der står bare
System:8 ud for processen i TCPView, men hvis jeg højreklikker på
processen og vælger 'Proces Properties' så får jeg bare en 'Unable
to query properties for System:8'.
....
--
Knud
| |
Lasse Reichstein Nie~ (31-12-2002)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 31-12-02 22:16 |
|
Arne Schwerdtfegger <knud@INVALIDskodliv.dk> writes:
> Madsen <nospam@madsen.tdcadsl.dk> wrote in
> news:Xns92F598878E5D0.thomas@madsen.tdcadsl.dk:
>
> TCPView fra Sysinternals er ret genial, synes jeg, men det kan ikke
> vise mig hvilken service der lytter på TCP 1026. Der står bare
> System:8 ud for processen i TCPView, men hvis jeg højreklikker på
> processen og vælger 'Proces Properties' så får jeg bare en 'Unable
> to query properties for System:8'.
Det er rigtigt. Mit gæt er at Windows NT starter processer med meget
lavt nummer under opstarten, før filsystemerne bliver rigtigt startet.
Det er nok processer i kernen der er tale om, og ikke egentlige programmer.
Sa vidt jeg kan se så allokerer WinXP nye porte fra 1024 og op, så
1026 er blot en tilfældig port, og som systemet selv lytter på.
Det kan så betyde hvad som helst :)
Fport viser også kune "System" som process og ingen path til program.
Jeg gætter på at det er en begrænsning ved windows selv, indtil nogen
finder et program der kan fortælle hvad System præcist laver :)
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
Madsen (01-01-2003)
| Kommentar
Fra : Madsen |
Dato : 01-01-03 12:44 |
|
Lasse Reichstein Nielsen skrev:
> Jeg gætter på at det er en begrænsning ved windows selv, indtil nogen
> finder et program der kan fortælle hvad System præcist laver :)
Som nævnt så skulle Rpcdump kunne klare det.
< http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en>
skriver:
| If you want to identify which RPC services is using which TCP
| or UDP port on your own system, you can use the rpcdump tool
| to obtain the list of registered RPC services in the portmapper
| database.
< http://razor.bindview.com/tools/desc/rpctools1.0-readme.html>
skriver:
| rpcdump dumps the contents of the endpoint mapper database.
| It's similar to the old epdump.exe and newer rpcdump.exe from
| Microsoft's resource kit, but it add the ability to query each
| registered RPC server for all the interfaces it supports via
| RpcMgmtInqIfIds, so it can report more that just the interfaces
| a server has registered.
|
| Usage: rpcdump [-v] [-p protseq] target
|
| The -v option turns on the verbosity, and rpcdump will try to get
| all interfaces supported by each server.
|
| The -p option allows you to specify a particular protocol sequence
| to use for talking to the endpoint mapper. If none is specified,
| rpcdump will try several of the more popular ones.
|
| Examples:
|
| [c:\rpctools] rpcdump 192.168.1.1
|
| dumps the endpoint map normally.
|
| [c:\rpctools] rpcdump -v 192.168.1.1
|
| dumps the endpoint map and tries to get the additional interface
| information.
|
| [c:\rpctools] rpcdump -v -p ncadg_ip_udp 192.168.1.1
|
| dumps the endpoint map via UDP and also tries to get the additional
| interface information.
Problemet er bare at jeg ikke kan få det til at virke. Jeg troede
at den skrev det i kommandprompten hvis jeg skrev f.eks. rpcdump -v
80.62.34.228, men der sker ikke noget. Måske bliver det dumpet et
sted, men jeg kan ikke finde den dump-fil, så jeg har opgivet det
værktøj indtil videre. Vil prøve fport i løbet af dagen.
--
Med venlig hilsen
Madsen.
| |
Madsen (01-01-2003)
| Kommentar
Fra : Madsen |
Dato : 01-01-03 13:27 |
|
Madsen skrev:
> Vil prøve fport i løbet af dagen.
Lasse Reichstein Nielsen skrev:
> Fport viser også kune "System" som process og ingen path til
> program.
Hvilket jeg havde overset, men Lasse har ret. Fport har stort
set samme funktioner som TCPView kan jeg se. Den skriver også
bare System:8, eller rettere 8:System, men desværre ikke hvilken
service eller proces der er tale om.
--
Med venlig hilsen
Madsen.
| |
F.Larsen (01-01-2003)
| Kommentar
Fra : F.Larsen |
Dato : 01-01-03 17:35 |
| | |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 13:30 |
|
Anders Wegge Jakobsen skrev:
> Denne service vil nødvendigvis sidde på en port hvor der er noget
> der svarer...
Og det er så her jeg er usikker på om der på port 1025 hos mig
(se evt.: <news:Xns92F81E33610E9.thomas@madsen.tdcadsl.dk>) - sidder
en service som svarer hvis en eller anden får den idé at rette et
angreb mod den.
--
Med venlig hilsen
Madsen.
| |
Madsen (01-01-2003)
| Kommentar
Fra : Madsen |
Dato : 01-01-03 18:08 |
| | |
Madsen (01-01-2003)
| Kommentar
Fra : Madsen |
Dato : 01-01-03 19:08 |
| | |
Madsen (01-01-2003)
| Kommentar
Fra : Madsen |
Dato : 01-01-03 21:12 |
|
Madsen skrev:
> Jeg tror at jeg begynder at stoppe en service en efter en indtil
> jeg rammer den rigtige. :)
Det tyder på at være umuligt. På WinXP er det System:4 TCP 1025
og på Win2000 System:8 TCP 1026 der lyttes på, men uanset hvilken
service jeg stopper, så bliver den ved med at stå og lytte.
Hvis jeg går ind på < http://grc.com/> og vælger 'Probe my Ports'
så er alle porte dog lukkede, så det må være godt nok.
--
Med venlig hilsen
Madsen.
| |
F.Larsen (01-01-2003)
| Kommentar
Fra : F.Larsen |
Dato : 01-01-03 21:50 |
| | |
Madsen (02-01-2003)
| Kommentar
Fra : Madsen |
Dato : 02-01-03 17:11 |
|
F.Larsen skrev:
> Det er sikkert RPC, se om den her hjælper :
> http://support.microsoft.com/default.aspx?scid=kb;en-us;Q154596
Det rækker min forstand så ikke til, for jeg har ingen anelse om
hvad jeg skal ændre i registreringsdatabasen. Sørge for at RPC
vælger forskellige adresser i stedet for at den altid vælger TCP
1025 på WinXP og TCP 1026 på Win2000, eller? At den ikke lytter på
internettet, eller noget helt tredje?
> på min WinXP er port 1025 er i brug af svchost.exe
Jeg kan så ikke finde ud af hvad der står og lytter her, men det er
muligt at det har noget med RPC at gøre. Jeg har hidtil troet at TCP
135 var den port RPC lyttede på og ifølge < http://grc.com/> er den
umulig at lukke, men det kan man altså godt hvis men følger rådene
på: < http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en>
Det jeg har gang i er at slippe for Norton Personal Firewall som jeg
hidtil har brugt, for jeg gider ikke at køre med det skrammel mere.
For lidt siden prøvede jeg at teste på < http://scan.sygatetech.com/>
uden Norton installeret.
Quick scan siger at alt er lukket undtaget ICMP og at jeg derfor
ikke er fuld beskyttet. Jeg har læst gruppens FAQ og afsnittet om
ICMP, men er ikke klar over om Norton Personal Firewall kører med
"stateful filtering." Hvis den gør var det måske værd at installere
den igen. Jeg aner det ikke.
Stealth scan viser at alt er lukket, men slutter alligevel af med:
'You are not fully protected: We have detected that some of our
probes connected with your computer'.
Trojan scan: 'You have blocked all of our probes! We still recommend
running this test both with and without Sygate Personal Firewall
enabled... so turn it off and try the test again'.
TCP scan: 'You have blocked all of our probes! We still recommend
running this test both with and without Sygate Personal Firewall
enabled... so turn it off and try the test again'.
TCP scan tester jo så kun fra port 1 til 1024, så her er 1025 jo
ikke med i testen.
UDP scan: Alle porte er lukkede, men alligevel: 'You are not fully
protected: We have detected that some of our probes connected with
your computer'.
Har jeg forstået det korrekt hvis jeg påstår, at en lukket port
er lukket og at udtrykket stealth er et salgstrick fra firewall-
producenterne?
--
Med venlig hilsen
Madsen.
| |
F.Larsen (03-01-2003)
| Kommentar
Fra : F.Larsen |
Dato : 03-01-03 00:58 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> wrote in message
news:Xns92F7AEB8958EB.thomas@madsen.tdcadsl.dk...
> 1025 på WinXP og TCP 1026 på Win2000, eller? At den ikke lytter på
> internettet, eller noget helt tredje?
artiklen foreslår at lukke for denne port i firewall hvilket vel giver god
mening - men det kræver jo at den ikke vælger en tilfældig port hver gang.
> Jeg kan så ikke finde ud af hvad der står og lytter her, men det er
> muligt at det har noget med RPC at gøre. Jeg har hidtil troet at TCP
> 135 var den port RPC lyttede på og ifølge < http://grc.com/> er den
> umulig at lukke, men det kan man altså godt hvis men følger rådene
> på: < http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en>
med netstat -noa kan man se PID - og med et tjek i taskmanger afslører at
det er SYSTEM / svrhost der har pågældende PID. Du kan jo prøve at slå den
ihjel :=) men jeg vil ikke tilråde det :=)
luk istedet for porten i din router ...
> Det jeg har gang i er at slippe for Norton Personal Firewall som jeg
> hidtil har brugt, for jeg gider ikke at køre med det skrammel mere.
kender den ikke, men (som andre har skrevet) så sørg for at din maskine
netværksmæssigt lukket af "inden" du evt smider en PW på.
> For lidt siden prøvede jeg at teste på < http://scan.sygatetech.com/>
> uden Norton installeret.
> Stealth scan viser at alt er lukket, men slutter alligevel af med:
> 'You are not fully protected: We have detected that some of our
> probes connected with your computer'.
Det gør den også hos mig, nok fordi jeg har en server kørende :=)
> Har jeg forstået det korrekt hvis jeg påstår, at en lukket port
> er lukket og at udtrykket stealth er et salgstrick fra firewall-
> producenterne?
Stealth betyder at der ikke er nogen reaktion / kontakt til den pågældende
port. Nogenlunde det samme resultat man får hvis man scanner en IP hvor der
ikke er nogen computer tændt :=)
På de porte som jeg har lukket for i routeren får jeg "BLOCKED" i testen.
for de øvrige får jeg CLOSED... iøvrigt også på nogen af de porte som jeg
faktisk har åbne så meget for den test)
--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/
| |
Jesper Louis Anderse~ (03-01-2003)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 03-01-03 16:14 |
|
On Fri, 3 Jan 2003 00:57:48 +0100, F.Larsen <n0spam@spamfilter.dk> wrote:
>> Jeg kan så ikke finde ud af hvad der står og lytter her, men det er
>> muligt at det har noget med RPC at gøre. Jeg har hidtil troet at TCP
>> 135 var den port RPC lyttede på og ifølge < http://grc.com/> er den
>> umulig at lukke, men det kan man altså godt hvis men følger rådene
>> på: < http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en>
>
> med netstat -noa kan man se PID - og med et tjek i taskmanger afslører at
> det er SYSTEM / svrhost der har pågældende PID. Du kan jo prøve at slå den
> ihjel :=) men jeg vil ikke tilråde det :=)
>
> luk istedet for porten i din router ...
Eller spis lidt chokolade og regn med at Windowsprogrammørerne godt
vidste hvad de lavede.
--
Jesper
| |
Allan Olesen (03-01-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 03-01-03 18:15 |
|
Jesper Louis Andersen <jlouis@ask.diku.dk> wrote:
>Eller spis lidt chokolade og regn med at Windowsprogrammørerne godt
>vidste hvad de lavede.
Hvis du har en aabent port paa dit system, bliver _du_ ogsaa
noedt til at vide, hvad du laver, hvis du skal vaere sikker paa,
at servicen ikke kan misbruges. Se bare Windows fildeling.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 02:58 |
|
F.Larsen skrev:
> med netstat -noa kan man se PID - og med et tjek i taskmanger
> afslører at det er SYSTEM / svrhost der har pågældende PID. Du kan
> jo prøve at slå den ihjel :=) men jeg vil ikke tilråde det :=)
Her ser det sådan ud:
< http://home18.inet.tele.dk/madsen/winxp/pid4.png>
> luk istedet for porten i din router ...
Jeg har ingen router.
Kører Teledanmark ADSL bredbånd (2 dynamisk IP-adresser) med et
ADSL-modem klasket op på væggen og et netkort i pc'en og det er
så det. Der er pt. kun en enkelt pc koblet på ADSL-forbindelsen.
>> Det jeg har gang i er at slippe for Norton Personal Firewall som
>> jeg hidtil har brugt, for jeg gider ikke at køre med det skrammel
>> mere.
>
> kender den ikke, men (som andre har skrevet) så sørg for at din
> maskine netværksmæssigt lukket af "inden" du evt smider en PW på.
PW står for _P_ersonal Fire_W_all, ikke?
< http://scan.sygatetech.com/>
>> Stealth scan viser at alt er lukket, men slutter alligevel af
>> med: 'You are not fully protected: We have detected that some of
>> our probes connected with your computer'.
>
> Det gør den også hos mig, nok fordi jeg har en server kørende :=)
Det har jeg så ikke.
>> Har jeg forstået det korrekt hvis jeg påstår, at en lukket port
>> er lukket og at udtrykket stealth er et salgstrick fra firewall-
>> producenterne?
>
> Stealth betyder at der ikke er nogen reaktion / kontakt til den
> pågældende port. Nogenlunde det samme resultat man får hvis man
> scanner en IP hvor der ikke er nogen computer tændt :=)
Så må stealth vel næsten også være en bedre situation end blot
closed for det viser jo trods alt at porten er der. Det gør stealth
ikke, eller er jeg mon helt ude i hampen? Jeg har ikke den store
forstand på det her, hvilket nok tydeligt ses.
> På de porte som jeg har lukket for i routeren får jeg "BLOCKED" i
> testen. for de øvrige får jeg CLOSED... iøvrigt også på nogen af
> de porte som jeg faktisk har åbne så meget for den test)
Aha og tak for hjælpen. :)
--
Med venlig hilsen
Madsen.
| |
Kent Friis (03-01-2003)
| Kommentar
Fra : Kent Friis |
Dato : 03-01-03 11:52 |
|
Den Fri, 03 Jan 2003 02:58:07 +0100 skrev Madsen:
>F.Larsen skrev:
>
>>> Har jeg forstået det korrekt hvis jeg påstår, at en lukket port
>>> er lukket og at udtrykket stealth er et salgstrick fra firewall-
>>> producenterne?
>>
>> Stealth betyder at der ikke er nogen reaktion / kontakt til den
>> pågældende port. Nogenlunde det samme resultat man får hvis man
>> scanner en IP hvor der ikke er nogen computer tændt :=)
>
>Så må stealth vel næsten også være en bedre situation end blot
>closed for det viser jo trods alt at porten er der. Det gør stealth
>ikke, eller er jeg mon helt ude i hampen? Jeg har ikke den store
>forstand på det her, hvilket nok tydeligt ses.
Der er altid 65535 TCP-porte, og lige så mange UDP-porte, og de har
altid nummer 1-65535 (0 er reserved). Så det eneste du viser er at
du har en personal firewall, (og IMHO viser det også at du ikke ved
ret meget om TCP/IP, og dermed at du er et nemt offer).
Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped
With XMMS tugging along nicely, playing Vivaldi...
| |
Lasse Reichstein Nie~ (03-01-2003)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 03-01-03 12:27 |
|
Madsen <nospam@madsen.tdcadsl.dk> writes:
> Så må stealth vel næsten også være en bedre situation end blot
> closed for det viser jo trods alt at porten er der. Det gør stealth
> ikke, eller er jeg mon helt ude i hampen? Jeg har ikke den store
> forstand på det her, hvilket nok tydeligt ses.
Du har helt ret i forskellen på "closed" og "stealth": En lukket port er en
der ikke modtager indkommende forbindelser, en såkaldt stealt-port er en
lukket port der ikke engang sender en fejlbesked tilbage når den afviser
en forbindelse (som IP-protokollen ellers kræver).
Fejlen er at antage at det er bedre ikke at kunne ses, end at kunne
ses. En lukket port er en sikker port, om den kan ses eller ej.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
Sune (03-01-2003)
| Kommentar
Fra : Sune |
Dato : 03-01-03 12:49 |
|
On 03 Jan 2003 12:26:32 +0100, Lasse Reichstein Nielsen
<lrn@hotpop.com> wrote:
>Fejlen er at antage at det er bedre ikke at kunne ses, end at kunne
>ses. En lukket port er en sikker port, om den kan ses eller ej.
Det er en fejl at antage at det er sådan.
Hvis man ved at porten eksisterer på en IP, kunne man forstille sig et
DoS-angreb.
Hvis man overhovedet ikke ved om det sidder noget som helst på IP'en
er den ikke interessant for et DoS-angreb.
Mvh
Sune
| |
Anders Wegge Jakobse~ (03-01-2003)
| Kommentar
Fra : Anders Wegge Jakobse~ |
Dato : 03-01-03 13:09 |
|
"Sune" == Sune <dec2002@tdcadsl.dk> writes:
> Hvis man ved at porten eksisterer på en IP, kunne man forstille sig et
> DoS-angreb.
> Hvis man overhovedet ikke ved om det sidder noget som helst på IP'en
> er den ikke interessant for et DoS-angreb.
Hvis et DoS angreb skal give mening, må der jo nødvendigvis være en
udadvendt service, som det kan lade sig gøre at hindre andres adgang
til. Denne service vil nødvendigvis sidde på en port hvor der er noget
der svarer, hvorfor det er fuldstændigt ligegyldigt om en ubrugt port
på samme IP er lukket eller stealth.
--
/Wegge
| |
Sune (03-01-2003)
| Kommentar
Fra : Sune |
Dato : 03-01-03 13:51 |
|
On 03 Jan 2003 13:08:45 +0100, Anders Wegge Jakobsen
<wegge@bakkelygaard.dk> wrote:
> Hvis et DoS angreb skal give mening, må der jo nødvendigvis være en
>udadvendt service, som det kan lade sig gøre at hindre andres adgang
>til.
Kan man ikke DoS'se en hvilken som helst port og få servicen /
computeren bag IPen til ikke at svare?
> Denne service vil nødvendigvis sidde på en port hvor der er noget
>der svarer, hvorfor det er fuldstændigt ligegyldigt om en ubrugt port
>på samme IP er lukket eller stealth.
Hvis man ikke ved om IPen benyttes til noget som helst, er IPen ikke
interessant for et DoS-angreb.
Hvis man har en port som er lukket, ved man at en maskine benytter
IPen.
Mvh
Sune
| |
Anders Wegge Jakobse~ (03-01-2003)
| Kommentar
Fra : Anders Wegge Jakobse~ |
Dato : 03-01-03 14:06 |
|
"Sune" == Sune <dec2002@tdcadsl.dk> writes:
> On 03 Jan 2003 13:08:45 +0100, Anders Wegge Jakobsen
> <wegge@bakkelygaard.dk> wrote:
>> Hvis et DoS angreb skal give mening, må der jo nødvendigvis være en
>> udadvendt service, som det kan lade sig gøre at hindre andres adgang
>> til.
> Kan man ikke DoS'se en hvilken som helst port og få servicen /
> computeren bag IPen til ikke at svare?
Man kan altid floode en IP, men det kan godt være svært at æde den
totale båndbredde på at kontakte en lukket port 
>> Denne service vil nødvendigvis sidde på en port hvor der er noget
>> der svarer, hvorfor det er fuldstændigt ligegyldigt om en ubrugt port
>> på samme IP er lukket eller stealth.
> Hvis man ikke ved om IPen benyttes til noget som helst, er IPen ikke
> interessant for et DoS-angreb.
Lige præcis...
> Hvis man har en port som er lukket, ved man at en maskine benytter
> IPen.
... men hvis der en nogen mening i at lave et DoS angreb, så *skal*
der være en udadvendt tjeneste. F. eks. er det fuldstændig
underordent om telnet porten er stealth eller lukket, hvis der
alligevel er noget der svarer på port 80.
--
/Wegge
| |
Lasse Reichstein Nie~ (03-01-2003)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 03-01-03 22:19 |
|
Sune <dec2002@tdcadsl.dk> writes:
> On 03 Jan 2003 12:26:32 +0100, Lasse Reichstein Nielsen
> <lrn@hotpop.com> wrote:
>
> >Fejlen er at antage at det er bedre ikke at kunne ses, end at kunne
> >ses. En lukket port er en sikker port, om den kan ses eller ej.
>
> Det er en fejl at antage at det er sådan.
At en lukket port er sikker? Der er kun fejl i IP-stakken selv at
bekymre sig om, og den stoler jeg generelt mere på end en personlig
firewall (som er den typiske måde at stealthe sine porte).
> Hvis man ved at porten eksisterer på en IP, kunne man forstille sig et
> DoS-angreb.
Hvis man ved at der er en maskine på en IP-adresse, så er det ligegyldigt
om alle porte er stealthede.
Hvis en enkelt port er åben, så kan man se at maskinen er der. Eller hvis
den svarer på ICMP-beskedder. Eller ...
> Hvis man overhovedet ikke ved om det sidder noget som helst på IP'en
> er den ikke interessant for et DoS-angreb.
Hvis de ikke ved der er en maskine, så kender de dig ikke. Så er der
næppe nogen der gider DoS'e dig.
Hvis de ved du er der, så gør stealth ingen forskel.
Jeg antager, uden at vide noget om det, at der ikke er ret mange der
gider DoS'e en tilfældig maskine. For at gøre indsatsen skal man gerne
vide hvem det går ud over, på en eller anden måde. Hvis de finder din
IP gennem IRC, ICQ, Kazaa, eller Madam Mims krystalkugle, så kan de
DoS'e dig, stealth eller ingen stealth.
Lige præcis DoS-angreb tror jeg ikke på stealth-porte beskytter mod,
da ofrene ikke findes ved tilfældig pingning.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
Jesper Dybdal (03-01-2003)
| Kommentar
Fra : Jesper Dybdal |
Dato : 03-01-03 16:20 |
|
Lasse Reichstein Nielsen <lrn@hotpop.com> wrote:
>Fejlen er at antage at det er bedre ikke at kunne ses, end at kunne
>ses. En lukket port er en sikker port, om den kan ses eller ej.
Det er rigtigt nok, men:
Svjh blev det engang betragtet som seriøs god skik at lade være med at
sende fejlreaktioner tilbage fra firewalls når der kom data til
"forbudte" porte og protokoller.
Formålet var slet ikke at skjule maskinen eller på anden vis direkte
opnå bedre sikkerhed selv, men at angriberen derved blev tvunget til at
bruge mere tid på at erkende at han ikke kunne komme ind: angriberens
program ville være nødt til at vente på en timeout inden det gav op, og
derved kunne angriberen prøve færre potentielle ofre pr. tidsenhed,
hvilket jo er en god ting.
Muligvis har det ingen reel betydning nu til dags: jeg kunne forestille
mig at mange angriberes værktøjer nu til dags godt kan finde ud af at
angribe andre mens de venter på svar fra et muligt offer.
Jeg har dog alligevel selv sat de par firewalls jeg administrerer, til
ikke at svare på andet end porte hvor der er særlig fornuft i at svare
(som fx ident, hvor jeg lader firewallen fange SYN-pakken og svare med
en TCP RST).
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 12:52 |
|
Lasse Reichstein Nielsen skrev:
> Fejlen er at antage at det er bedre ikke at kunne ses, end at kunne
> ses. En lukket port er en sikker port, om den kan ses eller ej.
Tak for forklaringen.
Jeg prøvede lige at installere Norton Personal Firewall igen her
i går og kørte derefter Quick scan-testen inde på sygatetech.com.
Den viste at ICMP nu var blokeret. Uden Norton viser den at ICMP er
åben, men hvis jeg forstår gruppens FAQ korrekt, så betyder det ikke
det helt vilde at ICMP er åben, eller kan jeg mon sikre ICMP bedre
uden brug af en personlig firewall?
--
Med venlig hilsen
Madsen.
| |
Kent Friis (03-01-2003)
| Kommentar
Fra : Kent Friis |
Dato : 03-01-03 14:22 |
|
Den Fri, 03 Jan 2003 12:52:28 +0100 skrev Madsen:
>Lasse Reichstein Nielsen skrev:
>
>> Fejlen er at antage at det er bedre ikke at kunne ses, end at kunne
>> ses. En lukket port er en sikker port, om den kan ses eller ej.
>
>Tak for forklaringen.
>
>Jeg prøvede lige at installere Norton Personal Firewall igen her
>i går og kørte derefter Quick scan-testen inde på sygatetech.com.
>Den viste at ICMP nu var blokeret. Uden Norton viser den at ICMP er
>åben, men hvis jeg forstår gruppens FAQ korrekt, så betyder det ikke
>det helt vilde at ICMP er åben, eller kan jeg mon sikre ICMP bedre
>uden brug af en personlig firewall?
Det er vigtigt at ICMP er åben.
Nogen firewalls kan lave stateful inspection der inkluderer ICMP, men
om det også gælder personal "firewalls" ved jeg ikke.
Alternativt kan man målrettet lukke for de ICMP-typer man ved man ikke
har brug for, men det kræver det store TCP/IP kørekort.
Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.
| |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 12:52 |
|
Kent Friis skrev:
> Så det eneste du viser er at du har en personal firewall, (og IMHO
> viser det også at du ikke ved ret meget om TCP/IP, og dermed at du
> er et nemt offer).
Hmm, det kan der jo egentlig være noget om.
--
Med venlig hilsen
Madsen.
| |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 14:39 |
|
Kent Friis skrev:
> Nogen firewalls kan lave stateful inspection der inkluderer ICMP,
> men om det også gælder personal "firewalls" ved jeg ikke.
Det har jeg så også læst i denne gruppes FAQ, men jeg tør heller
ikke sige om Norton Personal Firewall har stateful inspection.
Jeg har indtil videre ikke kunnet finde noget om det i hjælpefilen.
Fakta er at jeg tit har problemer med hjemmesider som ikke fungerer
efter hensigten før der i firewall'en er blevet sat regler op for
hvad siden må og ikke må og det er p.... irriterende. Det er en af
grundene til at jeg hellere vil være fri for den firewall. En anden
er at den før eller siden "løber fuld" i listen over programmer som
har lov til at gå på nettet, og så skal Norton af- og geninstalleres
for at få den til at virke igen.
> Alternativt kan man målrettet lukke for de ICMP-typer man ved man
> ikke har brug for, men det kræver det store TCP/IP kørekort.
Og det har jeg ikke just, så det dropper jeg i denne omgang. :)
--
Med venlig hilsen
Madsen.
| |
Kent Friis (03-01-2003)
| Kommentar
Fra : Kent Friis |
Dato : 03-01-03 14:45 |
|
Den Fri, 03 Jan 2003 14:38:46 +0100 skrev Madsen:
>Kent Friis skrev:
>
>> Nogen firewalls kan lave stateful inspection der inkluderer ICMP,
>> men om det også gælder personal "firewalls" ved jeg ikke.
>
>Det har jeg så også læst i denne gruppes FAQ, men jeg tør heller
>ikke sige om Norton Personal Firewall har stateful inspection.
>Jeg har indtil videre ikke kunnet finde noget om det i hjælpefilen.
>
>Fakta er at jeg tit har problemer med hjemmesider som ikke fungerer
>efter hensigten før der i firewall'en er blevet sat regler op for
>hvad siden må og ikke må og det er p.... irriterende. Det er en af
>grundene til at jeg hellere vil være fri for den firewall. En anden
>er at den før eller siden "løber fuld" i listen over programmer som
>har lov til at gå på nettet, og så skal Norton af- og geninstalleres
>for at få den til at virke igen.
Hvad hjemmesider må og ikke må bør kunne sættes op i browserens
sikkerhedsindstillinger. Især Mozilla er god til at sætte nogen
fornuftige indstillinger op, så man ikke behøver ændre dem hele
tiden.
Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy
| |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 17:40 |
|
Jesper Louis Andersen skrev:
> Eller spis lidt chokolade og regn med at Windowsprogrammørerne godt
> vidste hvad de lavede.
Jeg får ondt i knoppen af chokolade og specielt af mørk chokolade.
--
Med venlig hilsen
Madsen.
| |
Madsen (01-01-2003)
| Kommentar
Fra : Madsen |
Dato : 01-01-03 18:08 |
|
Madsen skrev:
> Som et tillægsspørgsmål vil jeg lige høre om der er nogen der ved
> hvad MsgSys.exe egentlig gør.
Nå det har jeg fundet ud af. Det er Norton Antivirus (servicen
Norton Antivirus Client).
--
Med venlig hilsen
Madsen.
| |
Larz (02-01-2003)
| Kommentar
Fra : Larz |
Dato : 02-01-03 12:12 |
| | |
Madsen (17-01-2003)
| Kommentar
Fra : Madsen |
Dato : 17-01-03 02:17 |
|
Madsen skrev:
> 1025/tcp network blackjack.
> 1026/tcp Calender Access Protocol
>
> Det bliver jeg så desværre ikke meget klogere af.
Det var 'Remote Access Connection Manager' som lyttede.
--
Med venlig hilsen
Madsen.
| |
Madsen (03-01-2003)
| Kommentar
Fra : Madsen |
Dato : 03-01-03 19:20 |
|
Larz skrev:
> http://www.snort.org/ports.html
1025/tcp network blackjack.
1026/tcp Calender Access Protocol
Det bliver jeg så desværre ikke meget klogere af.
--
Med venlig hilsen
Madsen.
| |
|
|