Offene Ports scannen , aber wie ?? ? ? ?

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
lin4ever
Newbie
Newbie
Beiträge: 45
Registriert: 12. Jan 2004, 23:14

Offene Ports scannen , aber wie ?? ? ? ?

Beitrag von lin4ever » 2. Apr 2004, 09:21

Hi all,

ich hab hier eine Linux SuSE 8.1 Maschine ( und aktiver FW2 )
und traue dem Ding nicht so was es tut . Es geht um die "offenen /
closed Ports " .

Habt ihr fuer die Konsole ein paar Befehle / oder ein Tool wie ich ganz "flink" die Ports scanne .

Ich weiss es geht auch via w++.port-scan.de , aber das ist mir
zu umständlich ...

Bye

Werbung:
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle » 2. Apr 2004, 09:28

Tach lin4ever,

einen Portscann mache ich immer mit "nmap" über Konsole.

BT

Benutzeravatar
r_heide
Newbie
Newbie
Beiträge: 37
Registriert: 16. Feb 2004, 10:03
Wohnort: 88400 Biberach
Kontaktdaten:

Beitrag von r_heide » 2. Apr 2004, 10:29

Hallo

Es gibt eine ganze Menge an Werkzeugen, mit denen man sehen kann, was der Rechner so tut.
Das Problem ist eher, diese Meldungen richtig zu interpretieren.

nmap -v "deine.ip.adress.e"
sollte Deine offenen ports liefern.

tcpdump -i any -c 50 -ln -v | tee "ein_beliebiges_logfile"
verwende ich gelegentlich, um eine Stichprobe ( -c 50 = 50 Pakete) ip-traffic mitzuschneiden (-i any wegen dem alten modem was ich zuhause noch hab)

lin4ever
Newbie
Newbie
Beiträge: 45
Registriert: 12. Jan 2004, 23:14

Beitrag von lin4ever » 2. Apr 2004, 11:32

Hi all,

danke für die schnelle antwort , aber es kommt nicht das raus was ich in meiner Suse FW 2 eingestellt habe . Ich poste mal die Infos zum analysieren :

SuSE Linux 8.1 ( FW 2 )

---------------------------
SuSEfirewall2 ( /etc/sysconfig/SuSEfirewall2 )
unter 9.)
FW_SERVICES_EXT_TCP="22"
FW_SERVICES_EXT_TCP="5900:5999"
FW_SERVICES_EXT_TCP="4660 4661 4662 4663 4664 4665 4667 4668 4669"
FW_SERVICES_EXT_UDP="4665 4672 4673"
FW_SERVICES_EXT_UDP="10032"

---------------------------------

die Ausgabe von nmap -v ip adresse ergab folgendes :

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host xxx.dip.t-dialin.net (2xx.xx.xx.xx) appears to be up ... good.
Initiating SYN Stealth Scan against xxxx.dip.t-dialin.net (2xx.xx.xx.xx)
Adding open port 6006/tcp
Adding open port 111/tcp
Adding open port 6000/tcp
Adding open port 22/tcp
The SYN Stealth Scan took 7 seconds to scan 1601 ports.
Interesting ports on xxxx.dip.t-dialin.net (2xx.xx.xx.x):
(The 1597 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
111/tcp open sunrpc
6000/tcp open X11
6006/tcp open X11:6

Nmap run completed -- 1 IP address (1 host up) scanned in 8 seconds

-----------------------

tcpdump xxx hab ich mir angeschaut , aber auch keine ports entdeckt dich in fw2 eingetragen habe ...


hmmm ??

Benutzeravatar
r_heide
Newbie
Newbie
Beiträge: 37
Registriert: 16. Feb 2004, 10:03
Wohnort: 88400 Biberach
Kontaktdaten:

Beitrag von r_heide » 2. Apr 2004, 12:39

The SYN Stealth Scan took 7 seconds to scan 1601 ports.
Scheinbar hat nmap auch nicht alle rund 64k ports gescannt.
Hab ihn grad auf meiner Kiste laufen lassen, da hat er es auch so gemacht, scheint also normal zu sein, aber vielleich entgehen ihm dabei die (schätz ich mal emule-) ports 466x.
Sonst sieht das aus wie auf meiner Kiste auch ( Port 111 ist der portmapper)

tcpdump schreibt nur mit, was auch läuft.
um da etwas zu sehen, müsstest Du deinen Esel aus dem Stall holen.

Was schreibt Deine Firewall denn in ihr logfile , bei mir liegt das unter /var/log/warn ?
Die Datei kann ziemlich groß sein, also erst mal schauen, wieviel Zeilen:
grep "SuSE-FW" /var/log/warn | wc -l

Um eine Übersicht zu bekommen :
grep "SuSE-FW" /var/log/warn | cut -d" " -f 9-12,17-21 | less
SCR= source-adresse
DST= Destination(deine) IP
SPT= Sender-Port
DPT= Destination Port

Mit solchem Firewall Logfile Auswerten habe ich versucht herauszufinden, was meine Kiste zuhause macht. Die vorläufigen Ergebnisse stehen in
http://www.ralph-heidenreich.de/privat/logl_401.htm

Benutzeravatar
moenk
Administrator
Administrator
Beiträge: 1382
Registriert: 15. Aug 2003, 15:36
Wohnort: N52° 27.966' E013° 20.087'
Kontaktdaten:

Beitrag von moenk » 2. Apr 2004, 13:12

Ich mag das ja kaum sagen, also der "nmap" muss auf einem anderen Rechner laufen als dem wo die Firewall läuft, ist klar nech? Es gibt noch andere Infos zu dem Programm, die Suchfunktion ist hier hilfreich.

Gast

Beitrag von Gast » 2. Apr 2004, 14:34

@moenk

Danke das war es !


p.s Immer noch auf der Suche nach Moderatoren ?

Gruss,

Lin4ever

Gast

Beitrag von Gast » 2. Apr 2004, 14:46

wenn man sich die fülle der nicht moderierten unterforen anschaut, könnte man fast meinen ja.....

Benutzeravatar
Rotznase
Member
Member
Beiträge: 111
Registriert: 7. Jan 2004, 17:31
Wohnort: Nürnberg
Kontaktdaten:

Beitrag von Rotznase » 2. Apr 2004, 20:11

Guckst du www.port-scan.de

gunnar
Bild

Benutzeravatar
r_heide
Newbie
Newbie
Beiträge: 37
Registriert: 16. Feb 2004, 10:03
Wohnort: 88400 Biberach
Kontaktdaten:

Beitrag von r_heide » 2. Apr 2004, 20:47

Ich mag das ja kaum sagen, also der "nmap" muss auf einem anderen Rechner laufen als dem wo die Firewall läuft, ist klar nech?
Dachte ich auch, dann hab ichs aber einfach probiert, und
22/tcp open ssh
111/tcp open sunrpc
6000/tcp open X11
zur Antwort bekommen.

Dasselbe bei mir zuhause mit
nmap -v localhost

Was macht der nmap da?
oder hat einfach keiner an den DAUU gedacht?
( = "Dümmster Anzunehmender Unix User" ) :?


Benutzeravatar
r_heide
Newbie
Newbie
Beiträge: 37
Registriert: 16. Feb 2004, 10:03
Wohnort: 88400 Biberach
Kontaktdaten:

Beitrag von r_heide » 7. Mai 2004, 16:59

Die bessere Methode, um offene Ports auf dem lokalen Rechner zu erkennen ist:

netstat -a -p

vergleiche:
http://www.sans.org/rr/special/essentia ... curity.php

monoMachine
Newbie
Newbie
Beiträge: 32
Registriert: 11. Okt 2006, 18:53

Beitrag von monoMachine » 17. Okt 2006, 11:25

für einzelne Ports tuts auch telnet...

sascha_08
Newbie
Newbie
Beiträge: 16
Registriert: 29. Sep 2006, 15:50

Beitrag von sascha_08 » 17. Okt 2006, 11:49

monoMachine hat geschrieben:für einzelne Ports tuts auch telnet...
Und wenn telnet gar nicht läuft ? ;)
Bringt das nix, das sind ja uralt Methoden.

Oder Ersetze in deinem Satz Telnet durch nc dann würde er "fast"
wieder stimmen.

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1246
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Beitrag von /dev/null » 17. Okt 2006, 13:44

sascha_08 hat geschrieben:Und wenn telnet gar nicht läuft ? ;)
Könnte es eventuell sein, dass du jetzt den (wirklich nicht mehr empfehlenswerten!) Telnet-Dienst mit dem Kommando namens "telnet" verwechslst???
Selbiges ist nämlich heute noch genau so wertvoll, wichtig und notwendig wie vor einigen Jahrzehnten :-)

MfG /dev/null
openSuSE Tumbleweed, Kernel 4.14.x.-desktop x86_64, KDE, Thunderbird 52.5.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste