/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Scanning efter TCP port 0?
Fra : Niels Kristian Jense~


Dato : 02-11-06 09:34

En lille bid fra min firewall log:

From 81.115.180.137 - 3 packets
To 194.192.161.163 - 1 packet
Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
To 194.192.161.166 - 1 packet
Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
To 194.192.161.167 - 1 packet
Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet

fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
port 0.

Hvad er det for et hul, de maskiner leder efter?

Mvh. NKJensen

 
 
Axel Hammerschmidt (02-11-2006)
Kommentar
Fra : Axel Hammerschmidt


Dato : 02-11-06 12:58

Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:

> En lille bid fra min firewall log:
>
> From 81.115.180.137 - 3 packets
> To 194.192.161.163 - 1 packet
> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
> To 194.192.161.166 - 1 packet
> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> To 194.192.161.167 - 1 packet
> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>
> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
> port 0.
>
> Hvad er det for et hul, de maskiner leder efter?

https://www.grc.com/port_0.htm

Kent Friis (02-11-2006)
Kommentar
Fra : Kent Friis


Dato : 02-11-06 18:03

Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
> Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
>
>> En lille bid fra min firewall log:
>>
>> From 81.115.180.137 - 3 packets
>> To 194.192.161.163 - 1 packet
>> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
>> To 194.192.161.166 - 1 packet
>> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>> To 194.192.161.167 - 1 packet
>> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>>
>> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
>> port 0.
>>
>> Hvad er det for et hul, de maskiner leder efter?
>
> https://www.grc.com/port_0.htm

Besvarer overhovedet ikke spørgsmålet.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (02-11-2006)
Kommentar
Fra : Axel Hammerschmidt


Dato : 02-11-06 19:58

Kent Friis <nospam@nospam.invalid> wrote:

> Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
>
> > Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
> >
> >> En lille bid fra min firewall log:
> >>
> >> From 81.115.180.137 - 3 packets
> >> To 194.192.161.163 - 1 packet
> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
> >> To 194.192.161.166 - 1 packet
> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >> To 194.192.161.167 - 1 packet
> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >>
> >> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
> >> port 0.
> >>
> >> Hvad er det for et hul, de maskiner leder efter?
> >
> > https://www.grc.com/port_0.htm
>
> Besvarer overhovedet ikke spørgsmålet.

Det kan du heller ikke.

Kent Friis (02-11-2006)
Kommentar
Fra : Kent Friis


Dato : 02-11-06 22:02

Den Thu, 2 Nov 2006 19:58:23 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
>>
>> > Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
>> >
>> >> En lille bid fra min firewall log:
>> >>
>> >> From 81.115.180.137 - 3 packets
>> >> To 194.192.161.163 - 1 packet
>> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
>> >> To 194.192.161.166 - 1 packet
>> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>> >> To 194.192.161.167 - 1 packet
>> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>> >>
>> >> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
>> >> port 0.
>> >>
>> >> Hvad er det for et hul, de maskiner leder efter?
>> >
>> > https://www.grc.com/port_0.htm
>>
>> Besvarer overhovedet ikke spørgsmålet.
>
> Det kan du heller ikke.

Det var sg* da en tåbelig kommentar. Naturligvis kender jeg heller ikke
svaret, ellers havde jeg nok allerede fortalt det. Men jeg er da
nysgerrig efter at læse svaret, og derfor skyndte jeg mig at åbne dit
link, som viste sig at fære fuldstændig spild af tid.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (02-11-2006)
Kommentar
Fra : Axel Hammerschmidt


Dato : 02-11-06 22:55

Kent Friis <nospam@nospam.invalid> wrote:

> Den Thu, 2 Nov 2006 19:58:23 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
> >>
> >> > Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
> >> >
> >> >> En lille bid fra min firewall log:
> >> >>
> >> >> From 81.115.180.137 - 3 packets
> >> >> To 194.192.161.163 - 1 packet
> >> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
> >> >> To 194.192.161.166 - 1 packet
> >> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >> >> To 194.192.161.167 - 1 packet
> >> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >> >>
> >> >> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP
> >> >> range på port 0.
> >> >>
> >> >> Hvad er det for et hul, de maskiner leder efter?
> >> >
> >> > https://www.grc.com/port_0.htm
> >>
> >> Besvarer overhovedet ikke spørgsmålet.
> >
> > Det kan du heller ikke.
>
> Det var sg* da en tåbelig kommentar.

I lige måde.

N_B_DK (03-11-2006)
Kommentar
Fra : N_B_DK


Dato : 03-11-06 06:53

"Kent Friis" <nospam@nospam.invalid> wrote in message

> Det var sg* da en tåbelig kommentar.

Nej det er det faktisk ikke, da portnumemret er ugyldigt er der ingen
programmer der kan lytte på den port, og derfor kan man ikke svare på
spørgsmålet (da spørgsmålet var hvilket hul er det der scannes efter, der er
ingen huller på port 0)

> Naturligvis kender jeg heller ikke svaret, ellers havde jeg nok allerede
> fortalt det.

Og derved kan du så afvise det der er svaret pga du ikke kender nok til det
?

> Men jeg er da nysgerrig efter at læse svaret, og derfor skyndte jeg mig at
> åbne dit
> link, som viste sig at fære fuldstændig spild af tid.

Nej det fortæller netop hvad problemet er.

--
MVH.
N_B_DK
Købes display print til en Panasonic NV-HS1000
Min mail add er gyldig.


Kent Friis (04-11-2006)
Kommentar
Fra : Kent Friis


Dato : 04-11-06 21:37

Den Fri, 3 Nov 2006 06:52:53 +0100 skrev N_B_DK:
> "Kent Friis" <nospam@nospam.invalid> wrote in message
>
>> Det var sg* da en tåbelig kommentar.
>
> Nej det er det faktisk ikke, da portnumemret er ugyldigt er der ingen
> programmer der kan lytte på den port, og derfor kan man ikke svare på
> spørgsmålet (da spørgsmålet var hvilket hul er det der scannes efter, der er
> ingen huller på port 0)

Huller findes sjældent hvor samtlige regler bliver overholdt, men
derimod hvor folk overtræder en regel man ikke har taget højde for.

Så jo, et manglende eller forkert check på port 0 kan sagtens betyde
at man har et sikkerhedshul.

>> Men jeg er da nysgerrig efter at læse svaret, og derfor skyndte jeg mig at
>> åbne dit
>> link, som viste sig at fære fuldstændig spild af tid.
>
> Nej det fortæller netop hvad problemet er.

Hvor på det link står der hvad afsenderen leder efter?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

P.L. (02-11-2006)
Kommentar
Fra : P.L.


Dato : 02-11-06 20:11

Måske dette link kan kaste lidt lys over det.

http://www.securityspace.com/smysecure/catid.html?id=10074

Niels Kristian Jense~ (03-11-2006)
Kommentar
Fra : Niels Kristian Jense~


Dato : 03-11-06 14:04

P.L. <Not@Valid.invalid> wrote in news:akgkk2d181nkvejvbbfpl3taa8qamrntf9@
4ax.com:

> Måske dette link kan kaste lidt lys over det.
>
> http://www.securityspace.com/smysecure/catid.html?id=10074

Tak for det link, det forklarede i hvert fald mig en del, jeg ikke vidste.

Mvh. NKJensen

P.L. (03-11-2006)
Kommentar
Fra : P.L.


Dato : 03-11-06 14:27

On 03 Nov 2006 13:03:59 GMT, Niels Kristian Jensen
<nkj-2006@internetDYTgruppen.dk> wrote:

>P.L. <Not@Valid.invalid> wrote in news:akgkk2d181nkvejvbbfpl3taa8qamrntf9@
>4ax.com:
>
>> Måske dette link kan kaste lidt lys over det.
>>
>> http://www.securityspace.com/smysecure/catid.html?id=10074
>
>Tak for det link, det forklarede i hvert fald mig en del, jeg ikke vidste.

Var da så lidt.

Peter Makholm (03-11-2006)
Kommentar
Fra : Peter Makholm


Dato : 03-11-06 07:23

"N_B_DK" <N_B_DKSPAM@hotmail.com> writes:

> Nej det er det faktisk ikke, da portnumemret er ugyldigt er der ingen
> programmer der kan lytte på den port, og derfor kan man ikke svare på
> spørgsmålet (da spørgsmålet var hvilket hul er det der scannes efter,
> der er ingen huller på port 0)

Så er det faktisk sjovt at der allerede er en der har postet en link
til en kendt sårbarhed der netop handlede om port 0 (CVE-1999-0675).

At jeg så ikke helt tror at det er den der skannes efter er mindre
interessant, men netop fordi at portnummeret er ugyldigt[0] gør det til
en oplagt kandidat får sårbarheder i selve protokolimplementationen.

>> Men jeg er da nysgerrig efter at læse svaret, og derfor skyndte jeg
>> mig at åbne dit
>> link, som viste sig at fære fuldstændig spild af tid.
>
> Nej det fortæller netop hvad problemet er.

Ptjaaa, den giver noget baggrundsinformation der let går over hovedet
på folk når de efterfølgende siger at man ikke kan svare på spørgsmål
om sårbarheder på port 0.

Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
noget om hvilke sårbarheder der konkret kunne knytte sig til
skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
der allerede er henvist til.

//Peter Makholm


Axel Hammerschmidt (04-11-2006)
Kommentar
Fra : Axel Hammerschmidt


Dato : 04-11-06 13:32

Peter Makholm <peter@makholm.net> wrote:

<snip>

> Ptjaaa, den giver noget baggrundsinformation der let går over hovedet
> på folk når de efterfølgende siger at man ikke kan svare på spørgsmål
> om sårbarheder på port 0.
>
> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
> noget om hvilke sårbarheder der konkret kunne knytte sig til
> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
> der allerede er henvist til.

Og OP kunne bare afprøve om han har sårbarheder med

https://www.grc.com/x/portprobe=0

Andreas Plesner Jaco~ (04-11-2006)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 04-11-06 14:45

On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
>> noget om hvilke sårbarheder der konkret kunne knytte sig til
>> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
>> der allerede er henvist til.
>
> Og OP kunne bare afprøve om han har sårbarheder med
>
> https://www.grc.com/x/portprobe=0

Nej, den applikation viser blot om en port er åben, hvilket port 0 i
sagens natur ikke er. Det betyder ikke at man ikke kan udnytte et hul i
maskinens protokolstak.

--
Andreas

Axel Hammerschmidt (04-11-2006)
Kommentar
Fra : Axel Hammerschmidt


Dato : 04-11-06 16:36

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> >> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
> >> noget om hvilke sårbarheder der konkret kunne knytte sig til
> >> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
> >> der allerede er henvist til.
> >
> > Og OP kunne bare afprøve om han har sårbarheder med
> >
> > https://www.grc.com/x/portprobe=0
>
> Nej, den applikation viser blot om en port er åben, hvilket port 0 i
> sagens natur ikke er. Det betyder ikke at man ikke kan udnytte et hul i
> maskinens protokolstak.

Nå, er den "i sagens natur" ikke det?

Men se f.eks

Message-ID: <1gsnhhd.16jh3w912wo8xsN%hlexa@hotmail.com>

eller

http://tinyurl.com/yzhurj

Det var der ikke nogen der havde en forklaring på, dengang.

Og applikationen scanner under alle omstændigheder TCP port 0.

Andreas Plesner Jaco~ (04-11-2006)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 04-11-06 17:04

On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>> >
>> >> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
>> >> noget om hvilke sårbarheder der konkret kunne knytte sig til
>> >> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
>> >> der allerede er henvist til.
>> >
>> > Og OP kunne bare afprøve om han har sårbarheder med
>> >
>> > https://www.grc.com/x/portprobe=0
>>
>> Nej, den applikation viser blot om en port er åben, hvilket port 0 i
>> sagens natur ikke er. Det betyder ikke at man ikke kan udnytte et hul i
>> maskinens protokolstak.
>
> Message-ID: <1gsnhhd.16jh3w912wo8xsN%hlexa@hotmail.com>

"svar" og "åben" er ikke det samme. Et svar kan fx være en TCP RST eller
en ICMP fejl.

--
Andreas

Andreas Plesner Jaco~ (04-11-2006)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 04-11-06 17:05

On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> Det var der ikke nogen der havde en forklaring på, dengang.

I øvrigt, jeg gider ikke spilde min tid på at forklare Steve Gibsons
vildfarelser.

--
Andreas

Axel Hammerschmidt (05-11-2006)
Kommentar
Fra : Axel Hammerschmidt


Dato : 05-11-06 16:50

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> > Det var der ikke nogen der havde en forklaring på, dengang.
>
> I øvrigt, jeg gider ikke spilde min tid på at forklare Steve Gibsons
> vildfarelser.

Det' helt i orden.

Peter Makholm (03-11-2006)
Kommentar
Fra : Peter Makholm


Dato : 03-11-06 12:38

"N_B_DK" <N_B_DKSPAM@hotmail.com> writes:

> "Peter Makholm" <peter@makholm.net> wrote in message
> news:87psc5uk04.fsf@login.hacking.dk
>> Så er det faktisk sjovt at der allerede er en der har postet en link
>> til en kendt sårbarhed der netop handlede om port 0 (CVE-1999-0675).
>
> Msg id ? for det indlæg har jeg ikke.

Message-ID: <akgkk2d181nkvejvbbfpl3taa8qamrntf9@4ax.com>

//Peter Makholm

Peter Makholm (03-11-2006)
Kommentar
Fra : Peter Makholm


Dato : 03-11-06 18:57

P.L. <Not@Valid.invalid> writes:

> Måske dette link kan kaste lidt lys over det.
>
> http://www.securityspace.com/smysecure/catid.html?id=10074

Et andet eksempel på en usikkerhed "på" port 0:

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2004-0525

Denne gang over TCP og ikke over UDP på en VPN.


Disse taler om en egentlig backdoor/trojaner (REx):

http://www.securityspace.com/smysecure/catid.html?id=18164
http://www.proxyblind.org/trojan.shtml

Jeg er simpelthen ikke dygtig nok til at google noget mere præcist
frem om denne trojaner.

//Peter Makholm

Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409079
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste