iptables + nmap

0

0

Подскажите как можно подружить сабж? Ведь нмап требует чтобы к нему приходили незатребованные(официально приложениями) пакеты. Может есть какой-нибудь модуль для raw сокетов? Если говорю чушь больно не пинайте.

Ссылка

←	CRC code - покалумпецкаем Gray Matter' ром

syn flood

→

>Ведь нмап требует чтобы к нему приходили незатребованные(официально приложениями) пакеты

А что, разве nmap не является приложением? Если ты беспокоишься по поводу фильтрации пакетов по состоянию (типа пропускаем входящие ESTABLISHED - остальные дропаем) - нет проблем. Пакеты, приходящие как ответ на скан nmap будут иметь состояние ESTABLISHED, и, следовательно, будут нормально обработаны. Во всяком случае, у меня nmap работает именно в таких условиях.

Только я немного сомеваюсь, правильно ли я понял вопрос...

bsh ★★★
(11.01.04 06:32:46 MSK)

Ответ на: комментарий от bsh 11.01.04 06:32:46 MSK

Нет я имею в виду вот что: когда nmap использует специальные виды скана, соединение какой статус имеет? Например когда отсылается пакет ACK. Помоему состояние ESTABLISHED получается когда отсылается syn пакет. К тому же это может зависеть от того как iptables работают. Ведь состояния соединения - это определяется TCP уровнем. А raw сокет не обрабатывается на этом уровне.

anonymous
(11.01.04 13:14:56 MSK)

Ответ на: комментарий от anonymous 11.01.04 13:14:56 MSK

>Ведь состояния соединения - это определяется TCP уровнем

Я вообще-то не специалист в этой области, но имхо, iptables "опознаёт" не только tcp пакеты. У меня например, дропаются все входящие, кроме тех, что имеют статус ESTABLISHED, и все исходящие кроме NEW, ESTABLISHED. Всё работает. Причём не только для tcp соединений. С udp и icmp это тоже срабатывает. Во всяком случае, и ДНС и пинг работает. Только что пробовал nmap'ить машину в локалке - нормально сканит... у тебя какой именно вид скана не работает?

anonymous
(11.01.04 17:14:18 MSK)

Ссылка

Ответ на: комментарий от anonymous 11.01.04 13:14:56 MSK

Имхо, трассировщик соединений отслеживает состояния пакетов в том числе по протоколам без установления соединения. То есть и udp и icmp и даже NETBLT, MUX и EGP плюс комплексные протоколы вроде ftp, IRC, ICQ.

Видимо причина в чём-то другом... имхо. Может более опытные люди подскажут.

bsh ★★★
(11.01.04 17:32:30 MSK)

nmap работает через raw socket

anonymous
(11.01.04 20:47:07 MSK)

Ссылка

Ответ на: комментарий от bsh 11.01.04 17:32:30 MSK

Хех, оказалось все просто. Скан работает (на ЛОРе проверил 8) ) Не моогу почему-то никого в провайдерсой сети просканить. Видно какую-то защиту поставить, или я дурак совсем 8))

anonymous
(11.01.04 22:44:43 MSK)

Ответ на: комментарий от anonymous 11.01.04 22:44:43 MSK

Дык это они от злости режим стелс включают :)) у нмап для них есть антирежим. (непомню ключик, но по хелпу он вылазит)

anonymous
(13.01.04 17:40:21 MSK)

Ответ на: комментарий от anonymous 13.01.04 17:40:21 MSK

SYN-Stealth в смысле? кажется опция -sS, если память не сбоит

anonymous
(13.01.04 23:43:02 MSK)

Ответ на: комментарий от anonymous 13.01.04 23:43:02 MSK

нет - это что сам сканирующий в энмапе был невидим, а не против невидимости сканируемого хоста

anonymous
(21.01.04 18:38:45 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CRC code - покалумпецкаем Gray Matter' ром

Security

syn flood

→

Похожие темы