Ciao a tutti
perchè una scansione UDP con nmap (nmap -sU -P0 -T 3 xxx.xxx.xxx.xxx) su una
macchina linux mi da aperte tutte le porte (UDP) e la stessa su un cisco
1700 no ?

--
Rizio

"Rizio" <nomail@noedu.org> ha scritto nel messaggio
news:yD4mb.63253$e6.2227378@twister2.libero.it...
> Ciao a tutti
> perchè una scansione UDP con nmap (nmap -sU -P0 -T 3 xxx.xxx.xxx.xxx) su
una
> macchina linux mi da aperte tutte le porte (UDP) e la stessa su un cisco
> 1700 no ?
Si ma... che ci azzecca il ciscocon la tua macchina Linux? Perchè ti aspetti
che le stasse porte aperte sul PC siano aperte anche sul cisco?


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.529 / Virus Database: 324 - Release Date: 16/10/2003

Sgranocchiando in cranio di Rizio, vi trovai inciso:

> perchè una scansione UDP con nmap (nmap -sU -P0 -T 3 xxx.xxx.xxx.xxx) su una
> macchina linux mi da aperte tutte le porte (UDP) e la stessa su un cisco
> 1700 no ?

cerca con google, la risposta è più stupida di quanto pensi... (hint: hai
un firewall?)


Ciao

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~
The Skull says:
Stop VeriSign. Go to http://www.whois.sc/verisign-dns/
* The most stupid thing since Microsoft Network... <g> *

Davide D'Amico wrote:

> Si ma... che ci azzecca il ciscocon la tua macchina Linux? Perchè ti
> aspetti che le stasse porte aperte sul PC siano aperte anche sul cisco?

Hai ragione scusa, non volevo fare un post infinito (come ieri n.d.a) e ho
stringato troppo.

La macchina Linux (con ip pubblico) fa firewalling con IPTABLE ed è dietro
al Cisco 1700 (HDSL).
Sto verificando la conf di iptables con i vari tool (che conosco). Ci sono
rimasto molto male vedendo l'output di nmap.

--
Rizio

Skull wrote:

> cerca con google, la risposta è più stupida di quanto pensi... (hint: hai
> un firewall?)

Si, uso iptables e la macchina (con ip pubblico) è dietro al cisco. Ho
riprovato, mentre scrivevo anche con la scansione FIN-Stealth e il
risultato è stato identico.

Adesso googlizzo come hai detto.

> Ciao

Grazie 1000 intanto

--
Rizio

Skull wrote:

> cerca con google, la risposta è più stupida di quanto pensi... (hint: hai
> un firewall?)

E' un bug di nmap ? Ho trovato alcuni articoli che lo indicavano come una
sorta di "svista". Cioè lui non ricevendo alcuna risposta la presuppone
come OPEN e la mette in FILTERED solo quando riceve il REJECT o il RESET
giusto ? Ti riferivi a questo o è meglio se continuo la ricerca ?

--
Rizio

Sgranocchiando in cranio di Rizio, vi trovai inciso:

> E' un bug di nmap ? Ho trovato alcuni articoli che lo indicavano come una
> sorta di "svista". Cioè lui non ricevendo alcuna risposta la presuppone
> come OPEN e la mette in FILTERED solo quando riceve il REJECT o il RESET
> giusto ? Ti riferivi a questo o è meglio se continuo la ricerca ?

No, mi riferivo esattamente a questo.
E non è un bug di nmap: è il normale risultato di una scansione effettuata
su una macchina dotata di packet filter e con policy a DROP, in funzione
di come è fatto il protocollo UDP...
Idem, se cerchi di fare una scansione di tipo half open verso una macchina
firewallata e con policy a REJECT --reject-with tcp-reset , ti parrà di
vedere una macchina con tutte le porte chiuse, anche se in realtà sono
solo filtrate.

Una porta udp è da considerarsi aperta quando non notifica di essere
chiusa. Per cui se droppa le richieste (e quindi non torna in dietro
alcuna notifica) è da considerarsi aperta...

Se non sbaglio le ultime versioni di nmap in caso di scansione UDP "tutto
aperto" ti notificano che il risultato è assurdo, ma la cosa è evidente
anche senza... ;-)


Hola...

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~
The Skull says:
Stop VeriSign. Go to http://www.whois.sc/verisign-dns/
* The most stupid thing since Microsoft Network... <g> *

> Se non sbaglio le ultime versioni di nmap in caso di scansione UDP "tutto
> aperto" ti notificano che il risultato è assurdo, ma la cosa è evidente
> anche senza... ;-)

Le ultime versioni (dalla 2.5 e qualcosa, forse) conteggiano al massimo
25 porte udp aperte. Se ne rilevano di piu' (cioe' se non ricevono un
icmp port unreachable da piu' di 25 porte) tutte le porte che non hanno
dato risposta sono omesse dall'elenco e vengono riassunte come "all xxxx
scanned udp ports are: filtered". In pratica, con una versione recente
di nmap _non_ si ottiene che tutte le porte sono aperte, quindi Rizio,
probabilmente, usa una vecchia versione.


Fabio

On Fri, 24 Oct 2003 08:06:09 +0000, Rizio wrote:

> Sto verificando la conf di iptables con i vari tool (che conosco). Ci sono
> rimasto molto male vedendo l'output di nmap.

Evidentemente, hai bisogno di una rinfrescata alle idee.
Se hai una policy tipo
iptables -P INPUT DROP
i pacchetti udp della scansione nmap non ricevono alcuna
risposta.
Normalmente, una porta udp chiusa risponderebbe, se non ci fosse
iptables di mezzo, con un bel icmp port unreachable ed nmap ti direbbe
"porta chiusa".
Non ricevendo alcunche' in risposta, viste le caratteeristiche del
protocollo di trasorto in esame, nmap suppone che le porte siano
aperte mentre, in realta', iptables ha droppato i pacchetti.

Fabio Panigatti wrote:

> Le ultime versioni (dalla 2.5 e qualcosa, forse) conteggiano al massimo
> 25 porte udp aperte. Se ne rilevano di piu' (cioe' se non ricevono un
> icmp port unreachable da piu' di 25 porte) tutte le porte che non hanno
> dato risposta sono omesse dall'elenco e vengono riassunte come "all xxxx
> scanned udp ports are: filtered". In pratica, con una versione recente
> di nmap _non_ si ottiene che tutte le porte sono aperte, quindi Rizio,
> probabilmente, usa una vecchia versione.
>
>
> Fabio

Ho capito il problema, la versione che uso è la 3.00 su Windows (lo so lo
so....era per verificare anche quello) e la 2.54BETA34 su Linux. I'ouput di
nmap era la lista _completa_ di tutte le porte UDP aperte perciò
probabilmente è dalle versioni successive che non hanno cambiato. Per la
versione per Win pero non sò cosa dire.

Cmq grazie mille a tutti, i miei sonni vi ringraziano

--
Rizio