Ερώτηση για πόρτες

[per]

Εφαρμόζοντας αυτά που διαβάζω στο site πήρα απ'το τερματικό, (Α) με ανοικτό απλά τον firefox και (Β) με κλειστό τα παρακάτω:
A)

Κώδικας: Επιλογή όλων

-desktop:~$ sudo nmap -P0 -sS my-­ip
Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-31 12:02 EEST
Interesting ports on ppp: ip
Not shown: 997 filtered ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 80.29 seconds

B)

Κώδικας: Επιλογή όλων

-desktop:~$ sudo nmap -P0 -sS my-ip
Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-31 12:04 EEST
Interesting ports on ppp:ip
Not shown: 999 filtered ports
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 323.43 seconds

Μπαίνω σε πολύ δύσκολο θέμα για μένα αλλά θα ήθελα αν μπορεί κάποιος να μου εξηγήσει τι σημαίνουν αυτά.

[c7p]

Κάθε πρόγραμμα έχει και την τεκμηρίωση του . Για κάθε επιλογή και παράμετρο που έβαλες μπορείς να δεις τι θα πει, τι κάνει με το

Κώδικας: Επιλογή όλων

man nmap

με την παραπάνω εντολή ανοίγεις τις σελίδες man (τεκμηρίωσης) του nmap ,απο τις οποίες μπορείς να αντλήσεις πληροφορίες για τo nmap

μπορείς να χρησιμοποιήσεις και το

Κώδικας: Επιλογή όλων

man nmap | less

με το οποίο ανοίγεις τις σελίδες man του nmap με το less
-το less είναι ένα προγραμματάκι ,όπως το cat, με το οποίο βλέπεις τα περιεχόμενα διάφορων αρχείων-
Χρησιμοποίησα το less επειδή μου δίνει την δυνατότητα να ψάξω λέξεις κλειδιά μέσα σε ένα αρχείο , κάτι που δεν σου προσφέρει το "man εντολή".
Για να ψάξω μια λέξη πατώ το "/" και μετά γράφω την λέξη που θέλω να ψάξω μέσα στο αρχείο

Spoiler: show

nmap [ <Scan Type> ...] [ <Options> ] { <target specification> }


-sS (TCP SYN scan) .
SYN scan is the default and most popular scan option for good
reasons. It can be performed quickly, scanning thousands of ports
per second on a fast network not hampered by restrictive firewalls.
SYN scan is relatively unobtrusive and stealthy, since it never
completes TCP connections. It also works against any compliant TCP
stack rather than depending on idiosyncrasies of specific platforms
as Nmap´s FIN/NULL/Xmas, Maimon and idle scans do. It also allows
clear, reliable differentiation between the open, closed, and
filtered states.

This technique is often referred to as half-open scanning, because
you don´t open a full TCP connection. You send a SYN packet, as if
you are going to open a real connection and then wait for a
response. A SYN/ACK indicates the port is listening (open), while a
RST (reset) is indicative of a non-listener. If no response is
received after several retransmissions, the port is marked as
filtered. The port is also marked filtered if an ICMP unreachable
error (type 3, code 1, 2, 3, 9, 10, or 13) is received.

(μετά απο λίγο googling βρήκα πως το -P0 αντικαταστήθηκε απο το -PN, και τα δύο το ίδιο πράγμα κάνουν)

-PN (No ping) .
This option skips the Nmap discovery stage altogether. Normally,
Nmap uses this stage to determine active machines for heavier
scanning. By default, Nmap only performs heavy probing such as port
scans, version detection, or OS detection against hosts that are
found to be up. Disabling host discovery with -PN causes Nmap to
attempt the requested scanning functions against every target IP
address specified. So if a class B sized target address space (/16)
is specified on the command line, all 65,536 IP addresses are
scanned. Proper host discovery is skipped as with the list scan,
but instead of stopping and printing the target list, Nmap
continues to perform requested functions as if each target IP is
active. For machines on a local ethernet network, ARP scanning will
still be performed (unless --send-ip is specified) because Nmap
needs MAC addresses to further scan target hosts. This option flag
used to be P0 (uses zero), but was renamed to avoid confusion with
protocol ping´s PO (uses the letter O) flag.

Με λίγα λόγια το -P0 (ή -PN) συμπεριφέρεται σε όλους τους hosts σαν να είναι online και το -sS είναι μια γρήγορη τεχνική "scanαρίσματος"

Αν χάνεσαι μέσα στις σελίδες του man μπορείς να χρησιμοποιήσεις το

Κώδικας: Επιλογή όλων

nmap --help

που τα έχει επιγραμματικά

όσο για το

Not shown: 997 filtered ports --> 997 πόρτες φιλτραρίστηκαν (το πρόγραμμα δεν θεώρησε σκόπιμο να στις εμφανίσει)
PORT STATE SERVICE
21/tcp open ftp --> η πόρτα 21 είναι ανοιχτή (open), χρησιμοποιεί το πρωτόκολλο tcp για την επικοινωνία και η υπηρεσία ftp χρησιμοποιεί αυτήν την πόρτα
23/tcp open telnet -->η πόρτα 23 είναι ανοιχτή (open), χρησιμοποιεί το πρωτόκολλο tcp για την επικοινωνία και η υπηρεσία telnet χρησιμοποιεί αυτήν την πόρτα
80/tcp open http --> η πόρτα 80 είναι ανοιχτή (open), χρησιμοποιεί το πρωτόκολλο tcp για την επικοινωνία και η υπηρεσία http χρησιμοποιεί αυτήν την πόρτα

[Nisok]

Off topic:
@per
Θα σε παρακαλούσα να χρησιμοποιείς τα BBCode όταν γράφεις τα post.
Γίνονται πιο ευανάγνωστα.
Σε ευχαριστώ

[per]

Ίσως να είναι αφελές αλλά μπορείς να μου πεις όταν ο firefox είναι κλειστός είναι σωστό να είναι ανοικτή η πόρτα 80/tcp;Κατά τα άλλα το πεδίο για ψάξιμο είναι απέραντο και σ'ευχαριστώ που μου έδειξες δρόμους.Όσο για τa BBCode δεν το είχα ψάξει και ευχαριστώ για την υπόδειξη.

[simosx]

Ίσως να είναι αφελές αλλά μπορείς να μου πεις όταν ο firefox είναι κλειστός είναι σωστό να είναι ανοικτή η πόρτα 80/tcp;Κατά τα άλλα το πεδίο για ψάξιμο είναι απέραντο και σ'ευχαριστώ που μου έδειξες δρόμους.Όσο για τa BBCode δεν το είχα ψάξει και ευχαριστώ για την υπόδειξη.

Πράγματι είναι παράξενο που εμφανίζονται αυτές οι πόρτες ανοιχτές.
Δοκίμασε ξανά με το πρόγραμμα lsof, (ίσως θέλει εγκατάσταση)
με

Κώδικας: Επιλογή όλων


sudo lsof -i

όπου θα δείξει περισσότερες λεπτομέρειες.

[simosx]

Δεν ξέρω αν βοηθώ αλλά επέλεξα αυτά από ότι έχει εμφανισθεί

Κώδικας: Επιλογή όλων

# nmap -A -T4 scanme.nmap.org playground



Starting Nmap ( http://nmap.org )

Interesting ports on scanme.nmap.org
(The 1663 ports scanned but not shown below are in state: filtered)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)

53/tcp open domain

70/tcp closed gopher

80/tcp open http Apache httpd 2.0.52 ((Fedora))

113/tcp closed auth

Device type: general purpose

Running: Linux 2.4.X|2.5.X|2.6.X

OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11



Interesting ports on playground.nmap.org :

(The 1659 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE VERSION

135/tcp open msrpc Microsoft Windows RPC

139/tcp open netbios-ssn

389/tcp open ldap?

445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds

1002/tcp open windows-icfw?

1025/tcp open msrpc Microsoft Windows RPC

1720/tcp open H.323/Q.931 CompTek AquaGateKeeper

5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC port: 5900)

5900/tcp open vnc VNC (protocol 3.8)

MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)

Device type: general purpose

Running: Microsoft Windows NT/2K/XP

OS details: Microsoft Windows XP Pro RC1+ through final release

Service Info: OSs: Windows, Windows XP



Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds

[simosx]

Δοκίμασε αυτό που αναφέρω παραπάνω. Η χρήση του lsof είναι η πιο ενδεδειγμένη για να διαπιστώσεις τι πραγματικά συμβαίνει στον υπολογιστή σου.
Η εντολή που εκτέλεσες σκάναρε το scanme.nmap.org, που είναι ένας υπολογιστής του έργου NMAP, στην Αμερική.

[per]

Μήπως τώρα τα κατάφερα;

Κώδικας: Επιλογή όλων

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
avahi-dae 2950 avahi 14u IPv4 7591 UDP *:mdns
avahi-dae 2950 avahi 15u IPv4 7592 UDP *:37627
cupsd 2974 root 2u IPv6 7661 TCP localhost:ipp (LISTEN)
cupsd 2974 root 3u IPv4 7662 TCP localhost:ipp (LISTEN)
dhclient 3215 root 5w IPv4 8126 UDP *:bootpc
firefox 3990 per 20u IPv4 26756 TCP per-desktop.local:51698->ew-in-f113.google.com:www (ESTABLISHED)
firefox 3990 per 46u IPv4 35478 TCP per-desktop.local:46522->wy-in-f113.google.com:www (ESTABLISHED)

[simosx]

Μήπως τώρα τα κατάφερα;

Κώδικας: Επιλογή όλων

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
avahi-dae 2950 avahi 14u IPv4 7591 UDP *:mdns
avahi-dae 2950 avahi 15u IPv4 7592 UDP *:37627
cupsd 2974 root 2u IPv6 7661 TCP localhost:ipp (LISTEN)
cupsd 2974 root 3u IPv4 7662 TCP localhost:ipp (LISTEN)
dhclient 3215 root 5w IPv4 8126 UDP *:bootpc
firefox 3990 per 20u IPv4 26756 TCP per-desktop.local:51698->ew-in-f113.google.com:www (ESTABLISHED)
firefox 3990 per 46u IPv4 35478 TCP per-desktop.local:46522->wy-in-f113.google.com:www (ESTABLISHED)

Εδώ αναφέρει ότι
1. έχεις την υπηρεσία CUPS (εκτυπώσεις), που «ακούει» στο τοπικό δίκτυο μόνο (localhost).
Μπορείς να δεις αν πας στο http://localhost:631/

2. Είναι ενεργή η υπηρεσία Avahi (Ανακάλυψη υπηρεσιών, service discovery, στο τοπικό δίκτυο λόγω του router)

3. Ο Firefox έχει δύο ενεργές συνδέσεις με το Google· μάλλον διαβάζεις το GMail σου.

Αν το nmap εμφανίζει ότι υπάρχουν οι υπηρεσίες www, ftp ενεργές, τότε είναι σφάλμα του nmap.

[per]

Ευχαριστώ για την βοήθειά σας.Είδα και τον έλεγχο στις πόρτες (πριν μερικούς μήνες δεν ήξερα τι είναι το τερματικό).Το υλικό για μελέτη είναι μπόλικο βέβαια,γι'αυτό κάποια στιγμή θα επανέλθω και ελπίζω να μην γίνομαι κουραστικός.