[HaBo]

c0ntr0l

Anzeige

Hi Leute,

ich hoffe mal das ich mit meinem ersten Thread gleich das richtige Forum getroffen habe.

Also mein Anliegen ist es etwas mehr über Sicherheitstechnicken zu erfahren daher dachte ich das dieses Board wohl am geeignetsten ist.

Es gehtin diesem Thread um die Frage, wie man einen Anti Portscanner schreibt(mir ist leider keine passendere Beschreibung eingefallen)

Nun, einen Portscanner zu schreiben ist kein Hexenwerk. Mich interresiert jetzt die Gegenseite. Wie schreibt man ein Programm das feststellt ob man abgescanned wird.
Mein erster Ansatz war natürlich (ich denke das tun diverse Virenscanner der unteren klasse ebenso) den Datenverkehr abzuhören und ab einer ungewöhnlich hohen Anzahl an anfragen zu reagieren. Man könnte sich dabei noch eventuel am Ansteigenden Port orientieren.

Dennoch ist mir das Konzept zu unzuverlässig. Daher würde ich gerne von euch, denjenigen die vllt. schon mehr erfahrung haben, wissen wie ihr soetwas angehen würdet.

Falls das relevant sein sollte, ich programmiere in C# unter Vista mit dem VS2005

Gruß c0ntr0l

Gulliver

Man kann alle ports aufreissen und einfach gucken ob dann da was kommt.

portsentry hats aehnlich gemacht und dem scanner dann ein offenes Scheuentor praesentiert.

Du nimmst die relevanten ports (den meistens werden die gescannt wo schwache services draufsitzen oder bots kommunizieren) und machst sie auf, jeweils in nem eigenen thread.
Dann sitzt du einfach auf jeder socke und horchst was kommt.

Oder du guckst dir nen sniffer an und wertest logs aus..

Elderan

Hallo,
bevor man einen Anti Portscanner schreibt, muss man verstehen, wie Portscanner arbeiten.
Deine Aussage, dass ein Portscanner zu schreiben kein Hexenwerk sein, ist komplett falsch.
Klar, einfach nacheinander auf alle Ports connecten und schauen wo es klappt.
Aber wie funktioniert ein TCP Syn Scan oder ein Null Scan?
Wie schafft es nmap, einen stealth Scan (also mit FIN-Segmenten) zu machen?

Wenn dies für dich alles pipifax ist, dann sollte ein Anti-Port-Scanner auch kein Problem darstellen, oder?

Also zurück zur Frage:
Normale Portscanns zeichnen sich dadurch aus, dass Packete an aufsteigende Portnummern senden, bzw. sie senden viele Packete an viele verschiedene Ports die unter Umständen geschlossen sind.
Dein Programm muss also immer reagieren wenn ein Host versucht eine Verbindung aufzubauen, bzw. ein Syn-Packet sendet an einen Port.
Wenn dann von einem Host zuviele verschiedene Ports versucht werden zu erreichen, wirfst du diesen raus.

Auf Anwendungsebene hast du aber keine Chance soetwas zu realisieren, du musst dich schon auf die Kernelebene runterlassen.
Zum Glück musst du keinen eigenen Treiber schreiben, das haben andere schon gemacht, und nennt sich WinPcap.

c0ntr0l

Dann nehm ich meine Aussage zurück und werd mich ma mit den von dir gegebenen Schlagwörtern mehr ausseinandersetzen.

Hab schon in einigen Threads hier was von den Stealthscans gelesen.
Muss ich mir ma ansehen da das meiner Meinung nach ein sehr Interresantes Thema ist.

WinCap hab ich zwar noch nicht benutzt aber schon viel gelesen. (Wollte es gestern mal durchsehen was alles möglich ist.)

Jedenfalls vielen Dank erstmal für eure Antworten.
Gruß c0ntr0l

Executor

ich versteh nicht ganz was ein anti portscanner überhaupt bringen soll...

ich mein du kannst doch mit einem portscanner dich selbst scannen, und die offenen ports dann von einer firewall überwachen lassen...

vielleicht mach ich grad n gedankenfehler, aber denke das ist das einfachste^^

bitmuncher

Portscan-Detektoren werden gern eingesetzt um Skriptkiddies auszusperren.

Anstelle des Thread-Eröffners würde ich mir einfach mal die Quelltexte von psad (PortScan Attack Detector) anschauen. Ist zwar eigentlich für Linux, dürfte sich aber bestimmt in ähnlicher Weise auch auf Windows umsetzen lassen. Man muß halt nur API-mässig etwas umdenken.

__________________

c0ntr0l

Hi

also ich hab mir bisher mal die Tipps von Elderan zu herzen genommen und mal die Theoretische funktionsweise einiger Scanner Typen angesehen. Ich werde die Tage versuchen mal diese umzusetzen. Ich denke der Syn Scan sollte, sofern mir WinCap diese möglichkeit bietet nicht schwer umzusetzen sein. Den NULL Scan muss ich mir nochmal genauer anschauen da ich nochnicht ganz dessen Prinzip verstanden habe.
Sehr Interresant fand ich noch den so genannten Idle Scan der mit einem Zombie PC arbeitet. Dessen Prinzip ist klar, jedoch ist die praksis ja wieder etwas ganz anderes.
Ich werde versuchen ersteinmal diese Scanner Typen umzusetzen.

Dann werde ich mir mal den Code psad ansehen.

Nochmal danke für die bisher wirklich hilfreichen Tips!

Gruß c0ntr0l

xblax

Ist es nicht sinvoller, die Dienste so gut abzusichern, dass Scriptkiddies eh keine Chance mehr haben, als zu versuchen die Ports zu verschleiern obwohl die gewonnene Sicherheit doch nur minimal ist?

Kritische Dienste könnte man auch bspw. nur über ein VPN zur Verfügung stellen.

c0ntr0l

Hi xblax,

mir ging es eigentlich weniger um den praktischen einsatz eines solchen Programmes,
sondern eher darum die funktionsweise eines solchen Programmes zu verstehen.
Gruß

bitmuncher

Auf einem öffentlichen Server kann man Dienste nicht per VPN zur Verfügung stellen. Und da die meisten Angriffe von Kiddies mit einem Portscan beginnen, kann man sie schon bei der Vorbereitung von "Angriffen" aussperren. Das spart vor allem Rechenleistung und erspart unnötige Einträge in den IDS-Logs.

__________________

Xalon

Hoi,

Mal ne Frage, ich hoffe ich kann die hier schnell einschieben, welcher Scan Typ wird leichter entdeckt (also öfters überwacht), SYN oder FIN Scans?

Weil FIN Packete auf geschlossene Ports ja eigentlich immer auffallend sind...
Außerdem funktionieren sie ja nicht auf allen Systemen und sind auch noch ungenau (filtered|open)

mfg,
Xalon

Gulliver

@Xalon

Das haengt von der Guete deines IDS und dessen Regeln ab und/oder deinen Faehigkeiten als Analyst, schnell zu erkennen ob gewisse logeintraege (wenn du sowas loggst) logisch sind, bzw keinen Sinn bei "normalen" TRaffic ergeben.

Elderan

Hallo,
also ein SYN-Scan zuverlässig zu filtern ist schwierig. Viele Würmer scannen nur bestimmte Ports, u.U. nur einen einzigen auf dem der verwundbare Dienst normalerweise läuft.
Diese Mini-Scans zu finden und rauszufiltern ist unmöglich.
Auch IPs zu sperren, die ein SYN Packet an einen geschlossenen Port senden, kann man nicht machen. Was ist, wenn ein User ausversehen beim Connecten den falschen Port eingetragen hat, 23 statt 25 für den SMTP Server?
Manche Anwenunden testen auch erst den einen Port, über den z.B. eine verschlüsselte Verbindung möglich ist und wechseln dann auf den unsicheren Port.

Also solche Portscans zu filtern ist relativ schwer.
Klar, das Scriptkiddie welches alle 65000 Ports durchläuft, den kann man schnell abschießen, aber bei Personen du nur auf einzelne Dienste testen?

Hm zum Thema FIN Packete:
FIN-Packete verwendet man oft, um aufs OS zu schließen.
Wenn du weißt, dass Port 80 offen ist und auf FIN ein RST Packet kommt, dann ist das OS sehr wahrscheinlich Windows.
Ansonsten bei Servern wird ja oft Linux/Unix verwendet, dort wird ja mit ACK geantwortet wenn ein FIN Packet eintrifft und der Port offen ist.

Also so einen FIN/Stealth Scan muss man immer etwas anpassen.


Das Problem an stealth Scans ist, dass diese aussehen wie 'kaputte' TCP-Packete.
Wie soll also eine IDS/Firewall nun unterscheiden, ob es nicht einfach nur ein kaputtes TCP Packet ist oder ob es ein scan ist.
TCP ist ja ein zuverlässiges Protokoll, so dass man nicht einfach kaputte Packete verwerfen darf, sondern der Zielhost muss gegebenfalls entsprechend antworten.

Xalon

@Gulliver: Schon klar, drum frag ich ja, bei welchem Typ es wahrscheinlicher ist das man auffliegt.

@Elderan: Falsch, Linux verwirft FIN Packete auf einen offen Port und antwortet nicht mit ACK.
Das tut es nur wenn es den Verbindungsabbau mit FIN "weiterführen" will, es muss also bereits eine
Verbindung bestehen.Darauf folgt dann ein FIN Packet, sobald der Client auf dieses mit ACK geantwortet hat ist die Verbindung abgebaut.


mfg,
Xalon