Hackerboard WikiHaboBlog

[HaBo]

 
News & Ankündigungen Aktuelle News rund ums Netz - recherchiert von unseren Usern, sowie offizielles vom Team und Ankündigungen der Moderatoren findet ihr hier.

Idle Scan

Diskussion: Idle Scan im Forum News & Ankündigungen, in der Kategorie Allgemeines; http://www.heise.de/security/artikel/41597 Zitat: Dabei bedient sich der Scanner eines zweiten Systems, das derzeit keine eigenen Internet-Aktivitäten aufweist ("idle" heißt auf Deutsch ...
Antwort
Themen-Optionen Ansicht
   
Alt 20.11.03, 19:49   #1 (permalink)
Member of Honour
 
Registriert seit: 06.03.03
poiin2000 Leistung: Facit NTK
Likes: 1
Standard Idle Scan


http://www.heise.de/security/artikel/41597

Zitat:
Dabei bedient sich der Scanner eines zweiten Systems, das derzeit keine eigenen Internet-Aktivitäten aufweist ("idle" heißt auf Deutsch soviel wie "untätig"). Das äußert sich bei Windows-Systemen (und einigen anderen) so, dass die IP-IDs der Pakete des Idle-Hosts sequenziell ansteigen. Jedes IP-Paket trägt eine eigene ID, damit der Empfänger eventuell fragmentierte Paketschnipsel richtig zuordnen kann. Die meisten Systeme setzen sie für jedes Paket um eins hoch:


# hping2 -S -p 80 192.168.0.2
...id=9289 sport=80 flags=SA ...
...id=9290 sport=80 flags=SA ...
...id=9291 sport=80 flags=SA ...


Dieses Feature lässt sich unter anderem auch zu heimlichen Lastmessungen ausnutzen (Details dazu finden Sie in c't 23/03, S. 212: "Wer zählt gewinnt").

Dann deckt der Scanner den Idle-Host mit einem kontinuierlichen Strom von Paketen ein, die eine Antwort erzeugen und wertet deren IP-IDs aus. Das können beispielsweise Ping-Anfragen und die dazughörigen Antworten sein. Jedes weitere Paket, das der Idle-Host jetzt verschickt, bewirkt einen Sprung in der IP-ID-Sequenz: 3, 4, 6, 7 bedeutet, dass der Rechner ein Paket mit der ID 5 an eine andere Adresse geschickt hat (sofern das Paket nicht verloren gegangen ist, was aber recht selten geschieht).

Im nächsten Schritt schickt der Scanner ein SYN-Paket mit der Absender-Adresse des Idle-Hosts an sein eigentliches Opfer, den Server. Ist auf dem angesprochenen Port ein Dienst aktiv, antwortet der Server mit SYN/ACK an den Idle-Host. Dieser weiß jedoch nichts von einer Verbindungs-Anfrage seinerseits und antwortet deshalb mit einem Reset-Paket. War der Port jedoch geschlossen, schickt der Server ein Reset an den Idle-Host, das dieser jedoch ignoriert.
Soweit ich mich erinnern kann, ist dies aber schon länger bekannt.
Wie sieht das bei euch aus?
Irre ich mich nun wirklich so gewaltig?
gruss p2k
poiin2000 ist offline   Mit Zitat antworten
Alt 20.11.03, 20:36   #2 (permalink)
Senior Member
 
Registriert seit: 02.10.01
DelumaX Leistung: Facit NTK
DelumaX eine Nachricht über ICQ schicken
Likes: 0
Standard
Ich kann mich auch dran erinnern vor längerem schon davon gehört zu haben... Aber erst mal so einen Rechner finden ;o) ...
DelumaX ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 20.11.03, 20:40   #3 (permalink)
 
Registriert seit: 10.10.03
derhesse Leistung: Facit NTK
Likes: 0
Standard
Also mir war nur die Methode bekannt, anhand der TCP IDs die Anzahl der Hosts zu zählen, die sich hinter einem NAT-Server verstecken. Die Methode damit Portscans durchzuführen ist mir persönlich neu. Auf diese Art und Weise ist es aber IMHO nicht möglich, die Art des Dienstes zu erkennen, die auf einem Port läuft. Ich lasse meine Wartungsdienste doch nicht auf Standardports laufen.

Ich persönlich finde das Thema Portscans reichlich überbewertet. Warum laufen denn Dienste auf einem Server der aus dem Internet erreichbar ist ? Dafür dass man sie auch nutzt. Oder täusche ich mich da.

der Hesse
derhesse ist offline   Mit Zitat antworten
Alt 20.11.03, 22:55   #4 (permalink)
 
Registriert seit: 22.08.03
junglehell Leistung: Facit NTK
junglehell eine Nachricht über ICQ schicken
Likes: 0
Standard
also für alle nmap users ist das doch eine alter hut
und verwaiste webpages gibt es doch genug im INet...
junglehell ist offline   Mit Zitat antworten
Alt 01.12.03, 13:01   #5 (permalink)
beko
Guest
 
Likes:
Standard
...da häb ich dann gleich mal die Frage warum mir der Großteil aller getesteten Maschinen immer "id=0" zurück liefert. Wird hier ein Paket, auf welches keine Antwort erwartet wird, absichtlich manipuliert?

Im Firmen-LAN ließ sich das ganze auf jeden Fall wunderbar unter Verwendung eines IdleDruckers nachvollziehen.
  Mit Zitat antworten
Antwort
   

Werbung ist gerade online    

[HaBo] » Allgemeines » News & Ankündigungen » Idle Scan
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Norton Security Scan dutchman2006 Virenschutz · Tools & Aggressive Software 5 11.01.08 18:23
Core2Duo E6600 - 47°C Idle nifelan Hardware Probleme 11 21.01.07 18:50
LanGuard Scan matrixII (In)security allgemein 11 17.05.05 18:59
Troja scan online ? EgoMobsta (In)security allgemein 4 25.10.02 22:21
Pornographie Scan psycho-hacker Off topic-Zone 1 26.04.02 00:41

Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61