it-swarm.com.de

Gefilterte Ports - Was genau filtert sie?

Nach der NMAP-Definition sind ungefilterte Ports diejenigen, bei denen nicht festgestellt werden kann, dass sie offen oder geschlossen sind, da die Paketfilterung verhindert, dass ihre Sonden den Port erreichen. (ISBN 9780979958717 S. 77)

  • Ist meine Annahme also richtig, dass jede Sonde, die es schafft, den Port zu erreichen, immer ordnungsgemäß von einem SYN/ACK oder einem RST beantwortet wird?
  • Das einzige, was mich daran hindern könnte, den Port zu erreichen oder eine Antwort von ihm zu erhalten, wäre ein Sicherheitsgerät (z. B. eine Firewall) - ist das richtig?
  • Kann die Anwendung selbst meine Sonden nicht einfach ignorieren?
11
user69377

Im Allgemeinen befinden sich mehrere Geräte zwischen Ihnen und Ihrem Ziel. Unterwegs können Firewalls, Router, Switches und andere Netzwerkgeräte verhindern, dass Ihre Pakete tatsächlich Ihr Ziel erreichen. Auch hostbasierte Firewalls oder Anwendungszugriffskontrollen können eine gefilterte Antwort verursachen.

Manchmal erhalten Sie eine Antwort vom Filtergerät als Antwort auf eine ICMP-Fehlermeldung, aber in den meisten Fällen werden die Pakete irgendwo auf der Route einfach verworfen.

Ihre Annahmen:

  • Nein. Iptables können so konfiguriert werden, dass sie überhaupt nicht antworten, es sei denn, Sie befinden sich auf einer genehmigten Liste. Oder iptables können mit einer Liste von Hosts/Netzwerken konfiguriert werden, auf die überhaupt nicht reagiert wird.
  • Dies hängt davon ab, wie Sie das Sicherheitsgerät definieren. Ein besserer Begriff wäre ein Zugriffskontrollgerät, da es sich um ACLs auf einem Router handeln könnte.
  • Abhängig von der Anwendung und ihrem Netzwerkstapel ist dies möglich. Eine Anwendung mit einem Benutzerland-Netzwerkstapel kann anstelle des Betriebssystems auswählen, was mit den Anforderungen geschehen soll.
8
dmay

In den meisten Betriebssystemen liegt die Verarbeitung des Drei-Wege-Handshakes TCP) in der Verantwortung des Netzwerkcodes des Betriebssystems. Anwendungen können das Interesse am Empfang von Verbindungen an einem bestimmten Port nur über listen () anmelden. Systemaufruf. Das Betriebssystem beantwortet eine SYN mit einer SYN/ACK, wenn eine Anwendung den Port überwacht, und ansonsten mit einer RST. Keine Anwendung hat dazu ein Mitspracherecht.

Dies ist das Standardverhalten. Es kann durch viele Dinge modifiziert werden, einschließlich, aber nicht beschränkt auf Paketfiltermechanismen auf dem Host. Darüber hinaus kann sich die spezialisierte Implementierung von TCP/IP absichtlich anders verhalten.

Wenn NMAP weder eine SYN/ACK noch eine RST als Antwort auf ein SYN-Paket empfängt, meldet es diesen Port als "gefiltert". Es kann nicht festgestellt werden, warum keine Antwort erhalten wurde. Wenn umgekehrt eine dazwischenliegende Firewall den Port blockiert, indem sie mit RST antwortet, meldet NMAP den Port als geschlossen, obwohl das Testpaket sein Ziel nie erreicht hat.

Insgesamt ist Ihr Angebot zumindest ungenau. NMAP meldet Ports auch als gefiltert, wenn sie neben der Paketfilterung aus anderen Gründen nicht als offen oder geschlossen bestimmt werden können. Paketfilterung ist nur die häufigste Ursache und wurde daher zum Namensgeber für dieses Ergebnis. Darüber hinaus kann NMAP einen Port sogar als geschlossen melden, wenn er aufgrund eines dazwischenliegenden Paketfilters nicht als offen oder geschlossen ermittelt werden kann.

9
Tilman Schmidt

Beim Versuch, in die einfachste Form des Zielnetzwerks einzutreten:

 Internet --- Firewall --- Ziel 

sie werden mindestens 3 Filterstufen überschreiten:

  1. firewall
  2. auf Betriebssystemebene des Ziels
  3. auf Anwendungsebene des Ziels

Bei jeweils dieser Ebenen kann ein 1. IP-Paket (und jedes andere Protokollpaket als ESP oder AH-Paket) 4 Arten von Behandlung erhalten:

  1. das Paket wird einfach verworfen (keine Antwort)
  2. das Paket wird verworfen und ein ICMP Typ 3, Code 9 oder 10 wird zurückgegeben.
  3. empfangen Sie ein TCP RST-Paket
  4. empfangen Sie ein TCP ACK-Paket

Aus diesem Grundbaustein werden echte Netzwerke aufgebaut.

3
dan

Hier gibt es mehrere Fragen. Lassen Sie mich versuchen, sie neu zu formulieren, damit eine angemessene Antwort gegeben werden kann.

Frage 1. Antworten Systeme mit SYN/ACK oder RST, wenn der Datenverkehr einen Host erreicht?

Kurze Antwort - nicht unbedingt, Sie erhalten möglicherweise ein ICMP-Ziel, das nicht erreichbar ist (Port nicht erreichbar). Dies wird als akzeptable Antwort angesehen, wenn an diesem Port kein Prozess abgehört wird ( RFC 1122 , Seite 40 und RFC 792 , Seite 5). Möglicherweise erhalten Sie auch überhaupt keine Antwort - leider entspricht nicht jeder den RFC-Spezifikationen. Leider habe ich Implementierungen gesehen, die SYN mit einem FIN antworten! Ja, so schlimm kann es sein.

Frage 2. Wird jede Sonde, die den Port erreicht, ordnungsgemäß beantwortet?

Kurze Antwort - nicht unbedingt, TCP Stack-Implementierungen variieren zwischen Betriebssystemen. Ich habe beispielsweise eingebettete Systeme mit begrenzten Ressourcen gesehen, bei denen der Listener-Prozess ausgelagert wurde, und zum Zeitpunkt des Prozesses wurde wieder in den Speicher zurückgesetzt, das Zeitfenster für eine Antwort wurde geschlossen. Dies ist eher eine Ausnahme als die Regel, aber Sie sollten bedenken, dass nicht jeder den Standard einhalten würde - einige verfügen möglicherweise über integrierte SYN-Hochwasserschutzmechanismen Möglicherweise werden zu viele SYN-Segmente vom selben Host als DoS-Versuch angezeigt.

Frage 3. Kann eine Anwendung Sonden ignorieren?

Normalerweise liegt es nicht in der Verantwortung der Anwendung, dies zu tun, sondern es ist der Betriebssystemstapel, der sich um diese Dinge kümmert. Es ist nicht zu sagen, dass Sie Ihren eigenen Protokollhandler nicht implementieren können, aber es ist selten der Fall. Aber ich würde sagen, dass nur wenige Anwendungen im TCP Handshake-Teil ihrer Kommunikation) mitreden können.

Ich hoffe du findest diese Antworten hilfreich :-)

0
Milen