• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Offene Ports scannen , aber wie ?? ? ? ?

lin4ever

Newbie
Hi all,

ich hab hier eine Linux SuSE 8.1 Maschine ( und aktiver FW2 )
und traue dem Ding nicht so was es tut . Es geht um die "offenen /
closed Ports " .

Habt ihr fuer die Konsole ein paar Befehle / oder ein Tool wie ich ganz "flink" die Ports scanne .

Ich weiss es geht auch via w++.port-scan.de , aber das ist mir
zu umständlich ...

Bye
 

r_heide

Newbie
Hallo

Es gibt eine ganze Menge an Werkzeugen, mit denen man sehen kann, was der Rechner so tut.
Das Problem ist eher, diese Meldungen richtig zu interpretieren.

nmap -v "deine.ip.adress.e"
sollte Deine offenen ports liefern.

tcpdump -i any -c 50 -ln -v | tee "ein_beliebiges_logfile"
verwende ich gelegentlich, um eine Stichprobe ( -c 50 = 50 Pakete) ip-traffic mitzuschneiden (-i any wegen dem alten modem was ich zuhause noch hab)
 
OP
L

lin4ever

Newbie
Hi all,

danke für die schnelle antwort , aber es kommt nicht das raus was ich in meiner Suse FW 2 eingestellt habe . Ich poste mal die Infos zum analysieren :

SuSE Linux 8.1 ( FW 2 )

---------------------------
SuSEfirewall2 ( /etc/sysconfig/SuSEfirewall2 )
unter 9.)
FW_SERVICES_EXT_TCP="22"
FW_SERVICES_EXT_TCP="5900:5999"
FW_SERVICES_EXT_TCP="4660 4661 4662 4663 4664 4665 4667 4668 4669"
FW_SERVICES_EXT_UDP="4665 4672 4673"
FW_SERVICES_EXT_UDP="10032"

---------------------------------

die Ausgabe von nmap -v ip adresse ergab folgendes :

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host xxx.dip.t-dialin.net (2xx.xx.xx.xx) appears to be up ... good.
Initiating SYN Stealth Scan against xxxx.dip.t-dialin.net (2xx.xx.xx.xx)
Adding open port 6006/tcp
Adding open port 111/tcp
Adding open port 6000/tcp
Adding open port 22/tcp
The SYN Stealth Scan took 7 seconds to scan 1601 ports.
Interesting ports on xxxx.dip.t-dialin.net (2xx.xx.xx.x):
(The 1597 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
111/tcp open sunrpc
6000/tcp open X11
6006/tcp open X11:6

Nmap run completed -- 1 IP address (1 host up) scanned in 8 seconds

-----------------------

tcpdump xxx hab ich mir angeschaut , aber auch keine ports entdeckt dich in fw2 eingetragen habe ...


hmmm ??
 

r_heide

Newbie
The SYN Stealth Scan took 7 seconds to scan 1601 ports.

Scheinbar hat nmap auch nicht alle rund 64k ports gescannt.
Hab ihn grad auf meiner Kiste laufen lassen, da hat er es auch so gemacht, scheint also normal zu sein, aber vielleich entgehen ihm dabei die (schätz ich mal emule-) ports 466x.
Sonst sieht das aus wie auf meiner Kiste auch ( Port 111 ist der portmapper)

tcpdump schreibt nur mit, was auch läuft.
um da etwas zu sehen, müsstest Du deinen Esel aus dem Stall holen.

Was schreibt Deine Firewall denn in ihr logfile , bei mir liegt das unter /var/log/warn ?
Die Datei kann ziemlich groß sein, also erst mal schauen, wieviel Zeilen:
grep "SuSE-FW" /var/log/warn | wc -l

Um eine Übersicht zu bekommen :
grep "SuSE-FW" /var/log/warn | cut -d" " -f 9-12,17-21 | less
SCR= source-adresse
DST= Destination(deine) IP
SPT= Sender-Port
DPT= Destination Port

Mit solchem Firewall Logfile Auswerten habe ich versucht herauszufinden, was meine Kiste zuhause macht. Die vorläufigen Ergebnisse stehen in
http://www.ralph-heidenreich.de/privat/logl_401.htm
 

moenk

Administrator
Teammitglied
Ich mag das ja kaum sagen, also der "nmap" muss auf einem anderen Rechner laufen als dem wo die Firewall läuft, ist klar nech? Es gibt noch andere Infos zu dem Programm, die Suchfunktion ist hier hilfreich.
 
A

Anonymous

Gast
@moenk

Danke das war es !


p.s Immer noch auf der Suche nach Moderatoren ?

Gruss,

Lin4ever
 
A

Anonymous

Gast
wenn man sich die fülle der nicht moderierten unterforen anschaut, könnte man fast meinen ja.....
 

r_heide

Newbie
Ich mag das ja kaum sagen, also der "nmap" muss auf einem anderen Rechner laufen als dem wo die Firewall läuft, ist klar nech?
Dachte ich auch, dann hab ichs aber einfach probiert, und
22/tcp open ssh
111/tcp open sunrpc
6000/tcp open X11
zur Antwort bekommen.

Dasselbe bei mir zuhause mit
nmap -v localhost

Was macht der nmap da?
oder hat einfach keiner an den DAUU gedacht?
( = "Dümmster Anzunehmender Unix User" ) :?
 

r_heide

Newbie
Die bessere Methode, um offene Ports auf dem lokalen Rechner zu erkennen ist:

netstat -a -p

vergleiche:
http://www.sans.org/rr/special/essential_host_security.php
 

/dev/null

Moderator
Teammitglied
sascha_08 schrieb:
Und wenn telnet gar nicht läuft ? ;)

Könnte es eventuell sein, dass du jetzt den (wirklich nicht mehr empfehlenswerten!) Telnet-Dienst mit dem Kommando namens "telnet" verwechslst???
Selbiges ist nämlich heute noch genau so wertvoll, wichtig und notwendig wie vor einigen Jahrzehnten :)

MfG /dev/null
 
Oben