Mi az a portszkennelés és HOGY LEHET MEGAKADÁLYOZNI?

Nyitott portokat keresnek, amit az ő szoftverük tett elérhetővé.

Egy tűzfalteszt megnyugtathat ha látod hogya minden port zárva.

A Nod túllihegi a dolgot, kapcsold ki az értesitést.

"Nyitott portokat keresnek, amit az ő szoftverük tett elérhetővé."

Ez nem igaz, bármilyen szolgáltatás nyithat portot!

Egyszerűen csak nyitott portot keresnek és ezzel felterepezik a futó és esetleg sebezhető alkalmazásokat.

Egy tűzfal megakadályozhatja a scannelés sikerességét.

"Ez nem igaz, bármilyen szolgáltatás nyithat portot!"

Hát dehogynem, és amit irsz annak semmi köze ehhez. Mert persze hogy nyithat portot, különben nem léphetne ki, de itt nem a kilépésről beszélünk, hanem épp forditva. Kintröl scanelik a gép portjait, a kérdés erről szól.

Méghozzá olyan portot scanel amit az ő rosszindulatú progija nyitott illetve reménykedik benne hogy adott ip-n telepitve van már és nyitott is a port. Ezek a portok jellemzőek az adott programra, ezért is ugrál fel neki a nod32.

Egy ismert hétkoznapi programra nem fog igy ugrálni, de ehhez kellett egy adatbázis amiben szerepelnek a fehér illetve fekete progik. Fekete programhoz társitott programoknál ugrik a nod, fehéreknél csendesen üldögél.

Igy érthető?

tényleg nem feltétlen a saját szoftvere által nyitott portot keres... hiszen akkor nem portscanelne (hát tudná, hogy melyik az!!)

Routerben van ddos védelem azt kapcsold be

@red4me: 85000-ig nem is, mivel 65535 port van csak....

DE a port scannelés úgy működik, hogy a program szépen üzeneteket küld a gép minden portjára 1-65535-ig és várja, hogy van-e valamilyen válasz.

Ha valamilyen alkalmazás hallgat az adott porton, az válaszolni fog, protokolltól függően.

Ebből a válaszból nagyjából belőhető, hogy az milyen alkalmazás és ha ismert egy sebezhetősége, akkor esetleg egy bejutási pont lehet egy adott gépre.

A NOD és egyéb szoftverek figyelik a hálózati forgalmat és egy bizonyos beérkező csomagszám után* jeleznek, hogy valami nincs rendben.

De ez lehet téves riasztás is.

(*: Mert ugye a portscanneléskor csomagokat küld a támadó a célpont gépnek...)

A NOD mag nem végez port scannelést meg semmit sem, csak figyeli a bejövő forgalmat.

A port nyitás pedig kifelé és befelé is történhet ez igaz, de bármelyik alkalmazás NYITHAT BEFELÉ JÖVŐ portot is, mint ahogy a backdoorok ezt meg is teszik.

De egy 80-as porton hallgató HTTP szerver is ugyan úgy támadható/sérülékeny lehet!

Ugyanazt leirtad amit én, annyi különbséggel hogy még mindig úgy képzeled elkezdi minden gép minden portját végignézni. Aztán talál egy látható portot mihez kezd vele?

Ennél hatékonyabban müködik, a jól megszokott saját portát nézi meg, ugyanis ha jelen van adott gépen a kártevője azzal karöltve már hozzáfér a géphez, ezen az adott porton. Ezeket a portokat ismerik a védelmi szoftverek, a tüzfal ellenörzők első dolga ezeknek a kritikus portoknak az ellenörzése.

Ha egy ilyen port érintett a lekérésben akkor ugrik a riasztás, még akkor is ha az csak véletlen egyezés. Egy megszokott, gyakori port miatt ilyen alapon másodpercenként ugrálhatna.

Nem ugyan azt írtam...

Amúgy ez nálad mi: "a jól megszokott saját portát nézi meg" ?

A NOD rohadtul nem néz semmit, ha erre gondolsz, mint írtam, az a bejövő forgalmat figyeli csak.

A port scanneléshez maga egy folyamat, amit bármikor, bárki megtehet, bármelyik géppel....

Illetve pontosítok, egy adott IP címmel.

Amúgy igen, MINDEN PORTOT LEHET SCANNELNI, a NOD nem scannel semmit....

De tessék, itt egy program amivel magad is kipróbálhatod: [link]

Egy támadásnál a külső fél baromira nem a saját programját keresi.

Igen, keresHET ismertebb portokon is, de ez nem mindig vezet eredményre és végig scannelheti mindent. (Igen, az nmap is előre veszi az ismertebb portokat általában, ez igaz.)

Ha pedig talált egyet mihez kezdhet?

Nos mondjuk megtudja, hogy milyen szolgáltatás fut az adott gépen.

PÉLDÁUL talál egy 22-es portot nyitva -> esélyes, hogy ssh szerver van az adott gépen.

Ha ezt megvizsgálja jobban az ssh visszajelzi a verzió számát. -> Ha utána néz és talál mondjuk egy buffer overflow sebezhetőséget, akkor máris talált egy támadási pontot, ahol behatolhat.

VAGY talál egy portot 44503 -> ez csak úgy random valami, nem gond, rá lehet nézni, akár egy telnet klienssel vagy bármivel, ha szerencséje van, akkor kap vissza adatot arról, hogy mi fut ott.

PÉLDÁUL lehet ez akár egy webszerver -> körül lehet nézni egy böngészővel, hátha van ott valami érdekes dolog.

VAGY

Talál egy 20, 21-es portot -> esélyes, hogy FTP szerver fut, ebben az esetben érdemes lehet (mondjuk minden esetben az), ha a LAN-hoz sikerült hozzáférni (mondjuk egy gyenge/védtelen wifin át) a teljes adatforgalmat figyelni, mert titkosítatlanul közlekedhet az FTP jelszó.

De akár az FTP szerver típusát is meg lehet próbálni megállapítani és esetleg hibát lehet keresni.

(Sőt, akár ezt felhasználva lehet floodolni/"rejtetten" scannelni más gépek portjait, ezt hívják FTP bounce attack-nak: [link] )

Ennyi.

A védelmi szoftverek pedig igen, tudják listázni az adott nyitott portokat és be tudják zárni őket, viszont a riasztást x db beérkező, ESETLEG gyanús csomag után adják, nem állnak neki nézegetni, hogy jajj, itt nyitva van egy port.

Remélem elég kielégítő választ írtam neked is a témával kapcsolatban.

(Ja és nem, nem a levegőbe beszélek, igen sok éve foglalkozom az informatikai rendszerek biztonságával...)

red4me

asszem összekeverted az előzőt velem :D

de ezekszerint jól mondtam