port scanning

[Lucasweb]

Salve ragazzi,
volevo chiedere delle cose a proposito del portscanning, dopo aver rilevato che ci sono ad esempio delle porte aperte non conosciute , come faccio a sapere
che tipo di servizio girà su quella porta ?????

Grazie

[OYS]

Che programma hai utilizzato?
Guarda questa lista:

http://it.wikipedia.org/wiki/Porte_note

[Lucasweb]

superScan 4.0 della foundstone

Prima usavo il 3.0 ma da recensioni diverse ho letto che il 4 è il migliore portscan
in circolazione.

[mark2x]

Originariamente inviato da Lucasweb
volevo chiedere delle cose a proposito del portscanning, dopo aver rilevato che ci sono ad esempio delle porte aperte non conosciute , come faccio a sapere
che tipo di servizio girà su quella porta ?????

Devi semplicemente connetterti e vedere cosa il server ritorna.

Il miglior scanner in circolazione è nmap, ma anch'esso, tramite semplice scansione, elenca le porta aperte ed i probabili servizi in ascolto: se la mia applicazione pippipippo.exe ascolta sull'80, ad esempio, nmap dirà invece che si tratta di Apache od un server HTTP (esempio soggetto a critiche ma rende l'idea).

Quindi: usare l'apposita opzione del proprio scanner (se presente) oppure connettersi by hand, via telnet ad esempio.

[Lucasweb]

In realtà con il telnet già mi sono connesso su una porta sconosciuta, ma nulla.
Mi dice che non è possibile connettersi.
Farò un'analisi più approfondita.

Grazie comunque

[mark2x]

Scusa ma... se ti dice che non è possibile connettersi come fa la porta ad esser aperta?
Al limite, al limite, sarà filtrata (dal firewall per certi IP, ad esempio).

Non è che lo scanner si sia sognato tutto?
Domanda affari-tuoi: a cosa ti serve tutto ciò?

[Lucasweb]

Con il SuperScan 4.0 dopo la scansione mi dice :

21 File Transfer [Control]
25 Simple Mail Transfer
80 World Wide Web HTTP
110 Post Office Protocol - Version 3
113 Authentication Service
135 DCE endpoint resolution
139 NETBIOS Session Service
443 HTTP protocol over TLS/SSL
445 Microsoft-DS
1029 [Unknown]

Questa evidenziata in rosso è aperta, ma non si connette in nessun modo.

[mark2x]

Prova con nmap da un Linux, così saprai se l'info è vera o fasulla..

[Habanero]

Dipendentemente dal sistema operativo usato, esistono vari servizi microsoft che girano su porte di poco superiori alla 1024. Non sono allocati ad una ben specifica porta ed è quindi difficile individuarli. In ogni caso potrebbe benissimo essere un qualunque altro server a girare su quella porta. Quasi sicuramente tale server non userà un protocollo testuale e quindi non riuscirai a comunicare con esso tramite telnet o netcat.

Il sistema scansionato è da te accessibile? Fa parte della tua lan?


Inoltre voglio far presente una cosa molto importante che non è quasi mai presa in considerazione. Se il pc dal quale effettui la scansione possiede un antivirus con modulo di rete che filtra la posta in ingresso/uscita o che analizza in tempo reale il traffico web, quasi sicuramente il risultato della scansione sarà errato. Tramite un hook sulle api di sistema, tali prodotti antimalware si agganciano come proxy su ben determinate porte per poter filtrare e/o bloccare dati ritenuti pericolosi (email, pagine web etc..). Una scansione verso una macchina remota passerà per tali moduli rilevando la presenza di porte aperte anche se tali non sono sul sistema remoto. Questo perchè l'AV stabilisce la connessione locale prima di cominciare quella remota. Classici esempi di porte erroneamente rilevate come aperte sono TCP 25, 110, 80, 8080, 3128. Il suggerimento è quindi quello di disabilitare l'antivirus (o almeno i moduli di rete) prima di effettuare una scansione.

[mark2x]

Habanero, credo che comunicare con un servizio sia una cosa, semplicemente connettersi un'altra, quindi, se non fallo, telnet dovrebbe comunque iniziare la connessione a tale servizio.
Ciò che non fa, a quanto dice Lucasweb.

Utile la chiarificazione sugli antivirus! Non sapevo nulla di ciò (non li utilizzo).