Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nut van Poortscan

Reageer met quote
18-11-2020, 10:27 door Anoniem, 35 reacties
Wat is het nut van het uitvoeren van een Poortscan?
Risco's van Phising
Spaarrekening loskoppelen van betaalrekening
Reacties (35)
Reageer met quote
18-11-2020, 11:43 door Anoniem
Door Anoniem: Wat is het nut van het uitvoeren van een Poortscan?

Ga zelf je huiswerk maken.
Reageer met quote
18-11-2020, 11:56 door User2048
Het koste mij drie tellen om dit te vinden: https://nl.wikipedia.org/wiki/Portscan.
Reageer met quote
18-11-2020, 12:41 door MathFox
Een poortscan is een inventarisatiestap.
Reageer met quote
18-11-2020, 12:52 door Bitje-scheef
Zie het als een flat waar je voorstaat en je kijkt waar de deuren en ramen openstaan.

Dit zijn mogelijke ingangen waar je naar binnen kunt, soms voor een bakkie koffie, soms voor een bakkie thee.
Reageer met quote
18-11-2020, 13:28 door Anoniem
Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
Reageer met quote
18-11-2020, 14:00 door MathFox
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
syntax error reinterpretation
Een poort is in veel gevallen simpel te openen van binnen naar buiten.
Reageer met quote
18-11-2020, 15:16 door Killjoy
Door Bitje-scheef: Zie het als een flat waar je voorstaat en je kijkt waar de deuren en ramen openstaan.

Dit zijn mogelijke ingangen waar je naar binnen kunt, soms voor een bakkie koffie, soms voor een bakkie thee.

Of soms voor "Oh buurman, wat doet u nu?" :D
Reageer met quote
18-11-2020, 15:19 door Anoniem
Door MathFox:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
syntax error reinterpretation
Een poort is in veel gevallen simpel te openen van binnen naar buiten.

Ja maar nooit van buiten naar binnen toch?
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
Reageer met quote
18-11-2020, 15:35 door Anoniem
Dat je weet dat je een ander beroep moet zoeken, verder "zien wat er toegankelijk is en open is op een systeem vanaf het buiten aanzicht, luisterende services etc".
Reageer met quote
18-11-2020, 15:45 door MathFox
Door Anoniem:
Door MathFox: Een poort is in veel gevallen simpel te openen van binnen naar buiten.
Ja maar nooit van buiten naar binnen toch?
Nee, er is een programma op de computer dat een poort opent.
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
De beheerder van de computer (of firewall) zegt "Dit is geen speelterrein" tegen scriptkiddies.
Reageer met quote
18-11-2020, 15:56 door Anoniem
Door Anoniem:
Door MathFox:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
syntax error reinterpretation
Een poort is in veel gevallen simpel te openen van binnen naar buiten.

Ja maar nooit van buiten naar binnen toch?
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
https://www.google.com/search?q=nmap+filtered+ports Ben je aan het trollen of ben je gewoon lui? Autodidactiek is belangrijk als een hacker zijnde.
Reageer met quote
18-11-2020, 16:11 door Erik van Straten
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
Nee. Google: port knocking
Reageer met quote
18-11-2020, 16:19 door Anoniem
Door Erik van Straten:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
Nee. Google: port knocking

Erik, je antwoord is helaas onjuist.

Via een poort die dicht staat kom je niet naar binnen, er bestaan wel mechanismen om die poort van buitenaf te openen zodat je er wel door naar binnen kunt.
Reageer met quote
18-11-2020, 16:21 door Anoniem
Door MathFox:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
syntax error reinterpretation
Een poort is in veel gevallen simpel te openen van binnen naar buiten.

Ja, en dat is gewoon geen vraag op het antwoord.
Reageer met quote
18-11-2020, 16:26 door Anoniem
Door Anoniem:
Door MathFox:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
syntax error reinterpretation
Een poort is in veel gevallen simpel te openen van binnen naar buiten.

Ja maar nooit van buiten naar binnen toch?
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?

Dat deze niet te benaderen is.
Reageer met quote
18-11-2020, 18:34 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
Nee. Google: port knocking

Erik, je antwoord is helaas onjuist.

Via een poort die dicht staat kom je niet naar binnen, er bestaan wel mechanismen om die poort van buitenaf te openen zodat je er wel door naar binnen kunt.
Poorten, IP-adressen en zelfs MAC-adressen zijn virtueel, dingen die we zo zijn gaan noemen om complexe materie te vereenvoudigen. Dat er "verderop" in het door jou gebruikte OS functionaliteit zit die UDP, TCP, ARP, ...pakketjes "begrijpt", betekent niet dat je geen mogelijkheden zou hebben om buiten de begaande paden te gaan.

Op een moderne "netwerkkaart" zit een Ethernet- of optische connector waarop serieel signaaltjes binnenkomen die eerst in bits en daarna in bytes worden omgezet. Op basis van bytes op specifieke offsets vanaf de eerste ontvangen byte "herkennen" we dat het bijv. om een IP pakketje gaat, en zo ja, of daarin bijv. een "TCP" pakketje zit, en zo ja, voor welk "poortnummer" dat pakketje bedoeld is.

Met een firewall (logging daaruit) kun je zien dat specifieke pakketjes "binnenkomen op een gegeven poort". Niets belet je om software te maken die na één specifiek pakketje, of desgewenst een sequence, een poort open te zetten (bijv. door een firewall-regel toe te voegen waarmee toegang wordt verleend voor specifiek afzender IP-adres). Dat kan een andere "poort" zijn, of die "poort" zelf.

Voorbeeld: lang geleden heb ik een Atari ST gehad met een "Real time clock" module die je tussen één van de OS EPROM's en diens chipvoetje moest pluggen. Door een specifieke sequence van EPROM-adressen uit te lezen, kreeg de driver toegang tot de RTC chip (op dat moment moesten hardware-interrupts worden uitgezet om te voorkomen dat -op dat moment onbereikbare- OS routines aangeroepen zouden worden). Vergelijkbaar: de Commodore 64 had (heeft?) 64kB RAM en 2x 8KB ROM, maar kon slechts 64kB adresseren. Een (assembler/machinetaal) programmeur moest dus kiezen of hij de CPU beide ROM's wilde "laten zien" zoals gebruikelijk, of bijv. de "BASIC ROM" tijdelijk wilde uitschakelen, zodat de CPU het RAM-geheugen "onder" die ROM kon lezen en beschrijven.

Iets minder lang geleden heb ik speciale netwerksniffers geschreven die, werkend onder DOS, gebruik maakten van (toen voor DOS beschikbare) packet drivers (met een standaard API, en aan de andere kant ondersteuning voor een specifieke netwerkkaart). Uiteindelijk is een Ethernet netwerkpakketje niets anders dan een reeks bytes. Hoe die reeks wordt geïnterpreteerd, bepaalt de software daarachter. The sky is the limit.
Reageer met quote
18-11-2020, 19:05 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
Nee. Google: port knocking

Erik, je antwoord is helaas onjuist.

Via een poort die dicht staat kom je niet naar binnen, er bestaan wel mechanismen om die poort van buitenaf te openen zodat je er wel door naar binnen kunt.

[knip]
The sky is the limit.

Ik acht je normaal best hoog maar dit is een teleurstellende reactie en puur als verdediging op je portnocking antwoord.

Het gaat over een poortscan en open/dichte poorten, als je dichte poorten zo makkelijk zou kunnen omzeilen dat zouden firewalls niet werken. Daar wil ik dan nog wel bewijs van zien dan.

Nogmaals, door een dichte poort kom je niet binnen.
Reageer met quote
18-11-2020, 19:06 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Dus als een poort dicht is betekent het dat je er niet via die voort naar binnen kunt?
Nee. Google: port knocking

Erik, je antwoord is helaas onjuist.

Via een poort die dicht staat kom je niet naar binnen, er bestaan wel mechanismen om die poort van buitenaf te openen zodat je er wel door naar binnen kunt.
Poorten, IP-adressen en zelfs MAC-adressen zijn virtueel, dingen die we zo zijn gaan noemen om complexe materie te vereenvoudigen. Dat er "verderop" in het door jou gebruikte OS functionaliteit zit die UDP, TCP, ARP, ...pakketjes "begrijpt", betekent niet dat je geen mogelijkheden zou hebben om buiten de begaande paden te gaan.

Op een moderne "netwerkkaart" zit een Ethernet- of optische connector waarop serieel signaaltjes binnenkomen die eerst in bits en daarna in bytes worden omgezet. Op basis van bytes op specifieke offsets vanaf de eerste ontvangen byte "herkennen" we dat het bijv. om een IP pakketje gaat, en zo ja, of daarin bijv. een "TCP" pakketje zit, en zo ja, voor welk "poortnummer" dat pakketje bedoeld is.

Met een firewall (logging daaruit) kun je zien dat specifieke pakketjes "binnenkomen op een gegeven poort". Niets belet je om software te maken die na één specifiek pakketje, of desgewenst een sequence, een poort open te zetten (bijv. door een firewall-regel toe te voegen waarmee toegang wordt verleend voor specifiek afzender IP-adres). Dat kan een andere "poort" zijn, of die "poort" zelf.

Voorbeeld: lang geleden heb ik een Atari ST gehad met een "Real time clock" module die je tussen één van de OS EPROM's en diens chipvoetje moest pluggen. Door een specifieke sequence van EPROM-adressen uit te lezen, kreeg de driver toegang tot de RTC chip (op dat moment moesten hardware-interrupts worden uitgezet om te voorkomen dat -op dat moment onbereikbare- OS routines aangeroepen zouden worden). Vergelijkbaar: de Commodore 64 had (heeft?) 64kB RAM en 2x 8KB ROM, maar kon slechts 64kB adresseren. Een (assembler/machinetaal) programmeur moest dus kiezen of hij de CPU beide ROM's wilde "laten zien" zoals gebruikelijk, of bijv. de "BASIC ROM" tijdelijk wilde uitschakelen, zodat de CPU het RAM-geheugen "onder" die ROM kon lezen en beschrijven.

Iets minder lang geleden heb ik speciale netwerksniffers geschreven die, werkend onder DOS, gebruik maakten van (toen voor DOS beschikbare) packet drivers (met een standaard API, en aan de andere kant ondersteuning voor een specifieke netwerkkaart). Uiteindelijk is een Ethernet netwerkpakketje niets anders dan een reeks bytes. Hoe die reeks wordt geïnterpreteerd, bepaalt de software daarachter. The sky is the limit.
Loool ik krijg antisec flashbacks van toen ze nog files van NASA servers af konden plukken omdat het simpelweg gewoon niet dicht stond. God wat zijn we eigenlijk als jonge hackers verwend met OWASP
Reageer met quote
19-11-2020, 00:24 door Erik van Straten
Door Anoniem: Het gaat over een poortscan en open/dichte poorten, als je dichte poorten zo makkelijk zou kunnen omzeilen dat zouden firewalls niet werken. Daar wil ik dan nog wel bewijs van zien dan.

Nogmaals, door een dichte poort kom je niet binnen.
Volgens mij begrijp je mij niet. Ik bedoel dat als een portscan "aantoont" dat een poort "dicht" zit, dit niet wil zeggen dat je die poort niet van buitenaf kunt "openen".

Als de eigenaar van een device zelf software heeft geïnstalleerd die dat mogelijk maakt (wellicht omdat ie vreest binnenkort ontslagen te worden), of als er malware op die PC draait met zo'n backdoor, kun je die PC (met nmap of whatever) scannen tot je een ons weegt - zonder die backdoor te vinden.
Reageer met quote
19-11-2020, 04:54 door Anoniem
Door Erik van Straten:
Door Anoniem: Het gaat over een poortscan en open/dichte poorten, als je dichte poorten zo makkelijk zou kunnen omzeilen dat zouden firewalls niet werken. Daar wil ik dan nog wel bewijs van zien dan.

Nogmaals, door een dichte poort kom je niet binnen.
Volgens mij begrijp je mij niet. Ik bedoel dat als een portscan "aantoont" dat een poort "dicht" zit, dit niet wil zeggen dat je die poort niet van buitenaf kunt "openen".

Als de eigenaar van een device zelf software heeft geïnstalleerd die dat mogelijk maakt (wellicht omdat ie vreest binnenkort ontslagen te worden), of als er malware op die PC draait met zo'n backdoor, kun je die PC (met nmap of whatever) scannen tot je een ons weegt - zonder die backdoor te vinden.

Dit lijkt mij meer een verwarring wat bedoeld wordt met open/gesloten poort(/port).

In normaal taalgebruik spreekt men van een poort als er een applicatie reageert op het binnengekomen packet. Dit kan een native applicatie zijn of een service/daemon die een applicatie opstart en vervolgens verder het data verkeer verwerkt.

Als je met een nmap scant, dan kun je verkennen of op die poort data verkeer wordt gegenereerd. Dit kan zelfs in half-open connecties waardoor het lastig is om dit terug te vinden in loggegevens. Het kan zijn dat een firewall verkeer op deze poort niet doorlaat (drop statement), of filtered. Filtered wil zeggen dat de poort wel bestaat en actief is, maar dat de applicatie of firewall een close-connection statement genereert (bijvoorbeeld omdat een rule bestaat dat het alleen connecties accepteert van een bepaald domein).

Wat u (Erik) hierboven toevoegd is dat er backdoors bestaan die van buitenaf een applicatie opstarten middels een zgn. trigger, of dat er een applicatie van binnenuit wordt opgestart (bijvoorbeeld door een timer).

Er zijn tientallen manieren om een backdoor te verbergen. Denk aan bijvoorbeeld een malafide netstat i.c.m. een aangepast firewall script. Wat wel altijd zichtbaar is voor een sniffer op een systeem op hetzelfde netwerk is dat wanneer de backdoor actief is, er verkeer op het netwerk plaatsvindt. Daarom is het altijd belangrijk om het netwerk te monitoren op onbekend verkeer.
Reageer met quote
19-11-2020, 08:13 door Erik van Straten
In aanvulling op mijn bijdrage van 00:24: wellicht is het "kortzichtig" van mij dat ik de vraag van de TS en Anoniem 13:28 vanuit defensief oogpunt interpreteerde.

Maar uiteindelijk heet deze site niet hacktic.nl, maar security.nl. En vormen het type backdoors dat ik bedoel, die ook in netwerkapparatuur (t/m netwerkkaarten/chips) kunnen zitten, een grote zorg van securityprofessionals - omdat ze lastig tot bijna onmogelijk te vinden zijn.
Reageer met quote
19-11-2020, 13:25 door Anoniem
Door Erik van Straten:
Door Anoniem: Het gaat over een poortscan en open/dichte poorten, als je dichte poorten zo makkelijk zou kunnen omzeilen dat zouden firewalls niet werken. Daar wil ik dan nog wel bewijs van zien dan.

Nogmaals, door een dichte poort kom je niet binnen.
Volgens mij begrijp je mij niet. Ik bedoel dat als een portscan "aantoont" dat een poort "dicht" zit, dit niet wil zeggen dat je die poort niet van buitenaf kunt "openen".

Als de eigenaar van een device zelf software heeft geïnstalleerd die dat mogelijk maakt (wellicht omdat ie vreest binnenkort ontslagen te worden), of als er malware op die PC draait met zo'n backdoor, kun je die PC (met nmap of whatever) scannen tot je een ons weegt - zonder die backdoor te vinden.

Dus door een dichte poort kom je niet binnen, dat er mechanismen zijn om poorten van buitenaf te openen klopt, ik kan een mailtje naar mezelf sturen met een code en poortnummer erin en vervolgens gaat de poort open. Portknocking kan ook etc.

Het punt is dat je door een gesloten poort niet binnenkomt, je zult hemop wat voor manier dan ook moeten openen.
Reageer met quote
19-11-2020, 13:33 door Anoniem
Door Erik van Straten: In aanvulling op mijn bijdrage van 00:24: wellicht is het "kortzichtig" van mij dat ik de vraag van de TS en Anoniem 13:28 vanuit defensief oogpunt interpreteerde.

Maar uiteindelijk heet deze site niet hacktic.nl, maar security.nl. En vormen het type backdoors dat ik bedoel, die ook in netwerkapparatuur (t/m netwerkkaarten/chips) kunnen zitten, een grote zorg van securityprofessionals - omdat ze lastig tot bijna onmogelijk te vinden zijn.

Sportief !!
Reageer met quote
19-11-2020, 15:54 door Erik van Straten - Bijgewerkt: 19-11-2020, 16:04
@Anoniem 13:33: dank!

Door Anoniem: Het punt is dat je door een gesloten poort niet binnenkomt, je zult hemop wat voor manier dan ook moeten openen.
Mijn punt is dat het risico's met zich mee kan brengen door uitsluitend in abstracte "poorten" te denken.

Wat jij een geopende poort noemt is, vermoed ik (correcties welkom!), dat een "luisterend" proces het adres van een callback routine in een tabel van de TCP/IP stack heeft laten zetten, gekoppeld aan een specifiek poortnummer.

Daarmee weet de software achter die TCP/IP stack dat, als er een netwerkpakketje binnen is gekomen met daarin (op een specifieke offset in dat pakketje, nadat buitenste schillen ervan zijn afgepeld, zoals een mogelijke ethernet header) dat specifieke destination port nummer, dat de callback routine naar het luisterende proces moet worden aangeroepen - met als één van de parameters waarschijnlijk een pointer naar de juiste offset in het binnengekomen pakketje in RAM.

Dus ook als een poort dicht is, komen netwerkpakketjes wel eerst binnen, alleen worden ze (binnen het device) niet doorgestuurd naar een proces dat te kennen heeft gegeven dergelijke pakketjes te willen ontvangen. Van pakketjes die "niemand wil hebben" zeggen we dat ze worden "gedropt". D.w.z. dat de buffer (in het geheugen) met dat pakketje wordt vrijgegeven (waarbij zo'n buffer lang niet altijd wordt "gecleared" - maar dat is een ander verhaal).

De netwerkstack kan dan, naar keuze, bijv. een ICMP "port unreachable" pakketje terugsturen naar de kennelijke afzender van het ontvangen pakketje (waarbij al enige tijd bekend is dat je dat niet moet doen als het afzenderadres 255.255.255.255 is).

Gewetensvraag: stel een webserver luistert op poort 80. Stel ik configureer op die server een firewall die alle pakketjes bestemd voor poort 80 blokkeert indien het afzender-poortnummer oneven is (of bijv. het afzenderadres niet 10.11.12.13 is). Staat poort 80 op die server dan open of dicht? Of is het antwoord daarop "dat hangt ervan af"?

Nog zo'n vraag: stel op jouw smartphone luistert er niks op poort 2345. Jij surft naar security.nl waarbij jouw webbrowser toevallig poort 2345 als source port gebruikt. Staat de poort op jouw smartphone op dat moment dan open of niet?

Laatste vraag: voordat die websessie start doet jouw smartphone mogelijk een DNS request via UDP. Staat er dan een poort open voor een antwoord? En als dat antwoord even op zich laat wachten, hoe lang staat die poort dan open?
Reageer met quote
19-11-2020, 19:17 door Anoniem
Door Erik van Straten: @Anoniem 13:33: dank!

Geen dank ;-)


Door Anoniem: Het punt is dat je door een gesloten poort niet binnenkomt, je zult hemop wat voor manier dan ook moeten openen.
Mijn punt is dat het risico's met zich mee kan brengen door uitsluitend in abstracte "poorten" te denken.

Wat jij een geopende poort noemt is, vermoed ik (correcties welkom!), dat een "luisterend" proces het adres van een callback routine in een tabel van de TCP/IP stack heeft laten zetten, gekoppeld aan een specifiek poortnummer.

En toegestaan door de firewall.


Daarmee weet de software achter die TCP/IP stack dat, als er een netwerkpakketje binnen is gekomen met daarin (op een specifieke offset in dat pakketje, nadat buitenste schillen ervan zijn afgepeld, zoals een mogelijke ethernet header) dat specifieke destination port nummer, dat de callback routine naar het luisterende proces moet worden aangeroepen - met als één van de parameters waarschijnlijk een pointer naar de juiste offset in het binnengekomen pakketje in RAM.

Dus ook als een poort dicht is, komen netwerkpakketjes wel eerst binnen, alleen worden ze (binnen het device) niet doorgestuurd naar een proces dat te kennen heeft gegeven dergelijke pakketjes te willen ontvangen. Van pakketjes die "niemand wil hebben" zeggen we dat ze worden "gedropt". D.w.z. dat de buffer (in het geheugen) met dat pakketje wordt vrijgegeven (waarbij zo'n buffer lang niet altijd wordt "gecleared" - maar dat is een ander verhaal).


Klopt dat het verkeer binnenkomt tot de firewall, anders zou een firewall nooit dropped of denied connections kunnen loggen.


De netwerkstack kan dan, naar keuze, bijv. een ICMP "port unreachable" pakketje terugsturen naar de kennelijke afzender van het ontvangen pakketje (waarbij al enige tijd bekend is dat je dat niet moet doen als het afzenderadres 255.255.255.255 is).

Gewetensvraag: stel een webserver luistert op poort 80. Stel ik configureer op die server een firewall die alle pakketjes bestemd voor poort 80 blokkeert indien het afzender-poortnummer oneven is (of bijv. het afzenderadres niet 10.11.12.13 is). Staat poort 80 op die server dan open of dicht? Of is het antwoord daarop "dat hangt ervan af"?

De poort staat dicht voor het betreffende verkeer wat aan de firewall rules voldoet en open voor het overige verkeer.



Nog zo'n vraag: stel op jouw smartphone luistert er niks op poort 2345. Jij surft naar security.nl waarbij jouw webbrowser toevallig poort 2345 als source port gebruikt. Staat de poort op jouw smartphone op dat moment dan open of niet?

Open maar alleen voor gerelateert verkeer, er kan geen nieuw proces van buitenaf geinitieerd worden wat door die poort 2345 naar binnen kan komen.


Laatste vraag: voordat die websessie start doet jouw smartphone mogelijk een DNS request via UDP. Staat er dan een poort open voor een antwoord? En als dat antwoord even op zich laat wachten, hoe lang staat die poort dan open?

Eigenlijk vergelijkbaar antwoord met hierboven.

Mij ging het in dit topic er om om de vraag van TS proberen te beantwoorden in simpele bewoordingen.

Als mijn auto niet start omdat de startmotor niet rond gegooid kan worden roep ik dat de accu leeg is.
Dat is totaal onjuist op meerdere[1] fronten maar toch begrijpt iedereen me.

[1]
De accu is gevuld met een vloeistof (accuzuur), loodcellen en nog wat zooi, dus niet leeg.
Qua capaciteit/lading ook onjuist omdat er nog steeds sprake is van een bepaalde capaciteit maar niet voldoende om de startmotor rond te gooien.
Reageer met quote
19-11-2020, 20:27 door Erik van Straten
@Anoniem 19:17: OK! De enige vraag die ik nog heb is aan de TS: met welke kleur hoed op wil je die poortscan uitvoeren?
Reageer met quote
19-11-2020, 20:57 door MathFox
@Anoniem 19:17: Het is niet moeilijk om met een gespoofd afzender adres op UDP nivo in een UDP sessie in te breken als je de poortnummers aan beide kanten kent. Werd gedaan in "DNS poisoning" aanvallen. https://nl.wikipedia.org/wiki/DNS-vergiftiging

Door Erik van Straten: @Anoniem 19:17: OK! De enige vraag die ik nog heb is aan de TS: met welke kleur hoed op wil je die poortscan uitvoeren?
Rood! ;) Met een blauwe baret! ;)
Reageer met quote
19-11-2020, 21:49 door Anoniem
Door MathFox: @Anoniem 19:17: Het is niet moeilijk om met een gespoofd afzender adres op UDP nivo in een UDP sessie in te breken als je de poortnummers aan beide kanten kent. Werd gedaan in "DNS poisoning" aanvallen. https://nl.wikipedia.org/wiki/DNS-vergiftiging

Door Erik van Straten: @Anoniem 19:17: OK! De enige vraag die ik nog heb is aan de TS: met welke kleur hoed op wil je die poortscan uitvoeren?
Rood! ;) Met een blauwe baret! ;)

RHCA die gediend heeft voor de VN?
Reageer met quote
19-11-2020, 22:14 door Erik van Straten
@Mathfox: tenzij ik erover heen gelezen heb, noch security.nl, noch tweakers.net heeft aandacht geschonken aan een nieuwe methode voor DNS Cache Poisoning, die "SAD DNS" gedoopt is. Deze aanval (op met name Linux DNS servers) weet de fixes te omzeilen die na de eerste ontdekking van dit soort aanvallen (Dan Kaninsky, 2008) in de meeste besturingssystemen zijn geïmplementeerd: https://www.saddns.net/.

Als ik nu de huidige door mij gebruikte DNS-server laat checken, begint het resultaat met:
Your DNS server IP is 194.109.133.199
Since it blocks outgoing ICMP packets, your DNS server is not vulnerable.
Maar ik heb ook DNS-servers voorbij zien komen die mogelijk wel kwetsbaar zijn.

Meer info (naast genoemde site zelf), bijv.
https://www.sidn.nl/nieuws-en-blogs/sad-dns-nieuwe-dns-cache-poisoning-aanval-ontdekt
https://blog.cloudflare.com/sad-dns-explained/
https://blog.nlnetlabs.nl/sad-dns-side-channel-attack-and-unbound/

Of het een gevolg is van deze aanval weet ik niet, maar vanmiddag meldde https://www.nu.nl/tech/6091536/onderdeel-site-van-joe-biden-met-turkse-teksten-beklad.html dat https://vote.joebiden.com/ gedefaced was (ik kon dat reproduceren). Volgens https://isc.sans.edu/tools/dnslookup.html waren de IPv4 adressen voor Nederland op dat moment:
Netherlands 13.32.240.102
Netherlands 13.32.240.101
Netherlands 13.32.240.34
Netherlands 13.32.240.121
Momenteel resolvt vote.joebiden.com in geen enkel land (voor zover gecheckt door sans.edu).

P.S. Ik hintte vorige week al op deze SAD DNS attack in https://www.security.nl/posting/677448/Is+een+digitale+handtekening+wel+altijd+rechtsgeldig%3F#posting677682 maar ofwel de redactie leest niet al mijn bijdragen :-) ofwel ze vonden deze kwetsbaarheid niet interessant genoeg :-(
Reageer met quote
20-11-2020, 00:16 door MathFox
Door Erik van Straten: @Mathfox: tenzij ik erover heen gelezen heb, noch security.nl, noch tweakers.net heeft aandacht geschonken aan een nieuwe methode voor DNS Cache Poisoning, die "SAD DNS" gedoopt is. Deze aanval (op met name Linux DNS servers) weet de fixes te omzeilen die na de eerste ontdekking van dit soort aanvallen (Dan Kaninsky, 2008) in de meeste besturingssystemen zijn geïmplementeerd: https://www.saddns.net/.
[...]
P.S. Ik hintte vorige week al op deze SAD DNS attack in https://www.security.nl/posting/677448/Is+een+digitale+handtekening+wel+altijd+rechtsgeldig%3F#posting677682 maar ofwel de redactie leest niet al mijn bijdragen :-) ofwel ze vonden deze kwetsbaarheid niet interessant genoeg :-(
Dank voor de link, ik heb de pdf gedownload en ga die verder doorlezen. Ziet er interessant uit.
De redactie moet keuzes maken in wat ze op de hoofdpagina zet. Voor deze aanval geldt dat de patch al uitgerold is.
Reageer met quote
21-11-2020, 08:56 door Anoniem
Door MathFox:
Door Anoniem:
Door MathFox: Een poort is in veel gevallen simpel te openen van binnen naar buiten.
Ja maar nooit van buiten naar binnen toch?
Nee, er is een programma op de computer dat een poort opent.
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
De beheerder van de computer (of firewall) zegt "Dit is geen speelterrein" tegen scriptkiddies.

Wat betekent filtered concreet?
Reageer met quote
21-11-2020, 10:21 door Anoniem
Door Anoniem:
Door MathFox:
Door Anoniem:
Door MathFox: Een poort is in veel gevallen simpel te openen van binnen naar buiten.
Ja maar nooit van buiten naar binnen toch?
Nee, er is een programma op de computer dat een poort opent.
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
De beheerder van de computer (of firewall) zegt "Dit is geen speelterrein" tegen scriptkiddies.

Wat betekent filtered concreet?

Filtered betekent dat het packet wel is ontvangen en er wordt door de interface gereageerd. Bijvoorbeeld, de TCP handshake wordt wel opgepakt (Syn/Ack), maar verder stopt de communicatie. Of dat de poort een reset connection message stuurt.
Reageer met quote
21-11-2020, 12:46 door Anoniem
Door Anoniem:
Door MathFox:
Door Anoniem:
Door MathFox: Een poort is in veel gevallen simpel te openen van binnen naar buiten.
Ja maar nooit van buiten naar binnen toch?
Nee, er is een programma op de computer dat een poort opent.
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
De beheerder van de computer (of firewall) zegt "Dit is geen speelterrein" tegen scriptkiddies.

Wat betekent filtered concreet?
Lees dan en kap met mensen pesten: https://www.google.com/search?q=nmap+filtered+ports
Reageer met quote
21-11-2020, 14:54 door Anoniem
Wat betekent filtered concreet?
Onderstaande link geeft geen concreet antwoord zoals jij volgens mij bedoeld maar het geeft wel een voorbeeld
over poort filtered.

https://pcmweb.nl/artikelen/security/firewall-poorten-scannen-hoe-en-waarom/
Reageer met quote
21-11-2020, 17:19 door Anoniem
Door Anoniem:
Door MathFox:
Door Anoniem:
Door MathFox: Een poort is in veel gevallen simpel te openen van binnen naar buiten.
Ja maar nooit van buiten naar binnen toch?
Nee, er is een programma op de computer dat een poort opent.
Dus als een poortscan aangeeft dat alle poorten filtered zijn, wat houdt dat in?
De beheerder van de computer (of firewall) zegt "Dit is geen speelterrein" tegen scriptkiddies.

Wat betekent filtered concreet?

leer te zoeken ?

https://nmap.org/book/man-port-scanning-basics.html


The six port states recognized by Nmap

open

An application is actively accepting TCP connections, UDP datagrams or SCTP associations on this port. Finding these is often the primary goal of port scanning. Security-minded people know that each open port is an avenue for attack. Attackers and pen-testers want to exploit the open ports, while administrators try to close or protect them with firewalls without thwarting legitimate users. Open ports are also interesting for non-security scans because they show services available for use on the network.
closed

A closed port is accessible (it receives and responds to Nmap probe packets), but there is no application listening on it. They can be helpful in showing that a host is up on an IP address (host discovery, or ping scanning), and as part of OS detection. Because closed ports are reachable, it may be worth scanning later in case some open up. Administrators may want to consider blocking such ports with a firewall. Then they would appear in the filtered state, discussed next.
filtered

Nmap cannot determine whether the port is open because packet filtering prevents its probes from reaching the port. The filtering could be from a dedicated firewall device, router rules, or host-based firewall software. These ports frustrate attackers because they provide so little information. Sometimes they respond with ICMP error messages such as type 3 code 13 (destination unreachable: communication administratively prohibited), but filters that simply drop probes without responding are far more common. This forces Nmap to retry several times just in case the probe was dropped due to network congestion rather than filtering. This slows down the scan dramatically.
unfiltered

The unfiltered state means that a port is accessible, but Nmap is unable to determine whether it is open or closed. Only the ACK scan, which is used to map firewall rulesets, classifies ports into this state. Scanning unfiltered ports with other scan types such as Window scan, SYN scan, or FIN scan, may help resolve whether the port is open.
open|filtered

Nmap places ports in this state when it is unable to determine whether a port is open or filtered. This occurs for scan types in which open ports give no response. The lack of response could also mean that a packet filter dropped the probe or any response it elicited. So Nmap does not know for sure whether the port is open or being filtered. The UDP, IP protocol, FIN, NULL, and Xmas scans classify ports this way.
closed|filtered

This state is used when Nmap is unable to determine whether a port is closed or filtered. It is only used for the IP ID idle scan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Werk jij nog thuis?

18 reacties
Aantal stemmen: 1312
Vacature
Image

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties
Lees meer
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2020 Security.nl - The Security Council
RSS Twitter