|
| Scanning efter TCP port 0? Fra : Niels Kristian Jense~ |
Dato : 02-11-06 09:34 |
|
En lille bid fra min firewall log:
From 81.115.180.137 - 3 packets
To 194.192.161.163 - 1 packet
Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
To 194.192.161.166 - 1 packet
Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
To 194.192.161.167 - 1 packet
Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
port 0.
Hvad er det for et hul, de maskiner leder efter?
Mvh. NKJensen
| |
Axel Hammerschmidt (02-11-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 02-11-06 12:58 |
|
Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
> En lille bid fra min firewall log:
>
> From 81.115.180.137 - 3 packets
> To 194.192.161.163 - 1 packet
> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
> To 194.192.161.166 - 1 packet
> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> To 194.192.161.167 - 1 packet
> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>
> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
> port 0.
>
> Hvad er det for et hul, de maskiner leder efter?
https://www.grc.com/port_0.htm
| |
Kent Friis (02-11-2006)
| Kommentar Fra : Kent Friis |
Dato : 02-11-06 18:03 |
|
Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
> Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
>
>> En lille bid fra min firewall log:
>>
>> From 81.115.180.137 - 3 packets
>> To 194.192.161.163 - 1 packet
>> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
>> To 194.192.161.166 - 1 packet
>> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>> To 194.192.161.167 - 1 packet
>> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>>
>> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
>> port 0.
>>
>> Hvad er det for et hul, de maskiner leder efter?
>
> https://www.grc.com/port_0.htm
Besvarer overhovedet ikke spørgsmålet.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Axel Hammerschmidt (02-11-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 02-11-06 19:58 |
|
Kent Friis <nospam@nospam.invalid> wrote:
> Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
>
> > Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
> >
> >> En lille bid fra min firewall log:
> >>
> >> From 81.115.180.137 - 3 packets
> >> To 194.192.161.163 - 1 packet
> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
> >> To 194.192.161.166 - 1 packet
> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >> To 194.192.161.167 - 1 packet
> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >>
> >> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
> >> port 0.
> >>
> >> Hvad er det for et hul, de maskiner leder efter?
> >
> > https://www.grc.com/port_0.htm
>
> Besvarer overhovedet ikke spørgsmålet.
Det kan du heller ikke.
| |
Kent Friis (02-11-2006)
| Kommentar Fra : Kent Friis |
Dato : 02-11-06 22:02 |
|
Den Thu, 2 Nov 2006 19:58:23 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
>>
>> > Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
>> >
>> >> En lille bid fra min firewall log:
>> >>
>> >> From 81.115.180.137 - 3 packets
>> >> To 194.192.161.163 - 1 packet
>> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
>> >> To 194.192.161.166 - 1 packet
>> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>> >> To 194.192.161.167 - 1 packet
>> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
>> >>
>> >> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP range på
>> >> port 0.
>> >>
>> >> Hvad er det for et hul, de maskiner leder efter?
>> >
>> > https://www.grc.com/port_0.htm
>>
>> Besvarer overhovedet ikke spørgsmålet.
>
> Det kan du heller ikke.
Det var sg* da en tåbelig kommentar. Naturligvis kender jeg heller ikke
svaret, ellers havde jeg nok allerede fortalt det. Men jeg er da
nysgerrig efter at læse svaret, og derfor skyndte jeg mig at åbne dit
link, som viste sig at fære fuldstændig spild af tid.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Axel Hammerschmidt (02-11-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 02-11-06 22:55 |
|
Kent Friis <nospam@nospam.invalid> wrote:
> Den Thu, 2 Nov 2006 19:58:23 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Thu, 2 Nov 2006 12:58:11 +0100 skrev Axel Hammerschmidt:
> >>
> >> > Niels Kristian Jensen <nkj-2006@internetDYTgruppen.dk> wrote:
> >> >
> >> >> En lille bid fra min firewall log:
> >> >>
> >> >> From 81.115.180.137 - 3 packets
> >> >> To 194.192.161.163 - 1 packet
> >> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,none) - 1 packet
> >> >> To 194.192.161.166 - 1 packet
> >> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >> >> To 194.192.161.167 - 1 packet
> >> >> Service: 0 (tcp/0) (Shorewall:logflags:DROP:,eth0,eth2) - 1 packet
> >> >>
> >> >> fulgt af en håndfuld andre IP'er, der også gennemscanner vores IP
> >> >> range på port 0.
> >> >>
> >> >> Hvad er det for et hul, de maskiner leder efter?
> >> >
> >> > https://www.grc.com/port_0.htm
> >>
> >> Besvarer overhovedet ikke spørgsmålet.
> >
> > Det kan du heller ikke.
>
> Det var sg* da en tåbelig kommentar.
I lige måde.
| |
N_B_DK (03-11-2006)
| Kommentar Fra : N_B_DK |
Dato : 03-11-06 06:53 |
|
"Kent Friis" <nospam@nospam.invalid> wrote in message
> Det var sg* da en tåbelig kommentar.
Nej det er det faktisk ikke, da portnumemret er ugyldigt er der ingen
programmer der kan lytte på den port, og derfor kan man ikke svare på
spørgsmålet (da spørgsmålet var hvilket hul er det der scannes efter, der er
ingen huller på port 0)
> Naturligvis kender jeg heller ikke svaret, ellers havde jeg nok allerede
> fortalt det.
Og derved kan du så afvise det der er svaret pga du ikke kender nok til det
?
> Men jeg er da nysgerrig efter at læse svaret, og derfor skyndte jeg mig at
> åbne dit
> link, som viste sig at fære fuldstændig spild af tid.
Nej det fortæller netop hvad problemet er.
--
MVH.
N_B_DK
Købes display print til en Panasonic NV-HS1000
Min mail add er gyldig.
| |
Kent Friis (04-11-2006)
| Kommentar Fra : Kent Friis |
Dato : 04-11-06 21:37 |
|
Den Fri, 3 Nov 2006 06:52:53 +0100 skrev N_B_DK:
> "Kent Friis" <nospam@nospam.invalid> wrote in message
>
>> Det var sg* da en tåbelig kommentar.
>
> Nej det er det faktisk ikke, da portnumemret er ugyldigt er der ingen
> programmer der kan lytte på den port, og derfor kan man ikke svare på
> spørgsmålet (da spørgsmålet var hvilket hul er det der scannes efter, der er
> ingen huller på port 0)
Huller findes sjældent hvor samtlige regler bliver overholdt, men
derimod hvor folk overtræder en regel man ikke har taget højde for.
Så jo, et manglende eller forkert check på port 0 kan sagtens betyde
at man har et sikkerhedshul.
>> Men jeg er da nysgerrig efter at læse svaret, og derfor skyndte jeg mig at
>> åbne dit
>> link, som viste sig at fære fuldstændig spild af tid.
>
> Nej det fortæller netop hvad problemet er.
Hvor på det link står der hvad afsenderen leder efter?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
P.L. (02-11-2006)
| Kommentar Fra : P.L. |
Dato : 02-11-06 20:11 |
| | |
Niels Kristian Jense~ (03-11-2006)
| Kommentar Fra : Niels Kristian Jense~ |
Dato : 03-11-06 14:04 |
| | |
P.L. (03-11-2006)
| Kommentar Fra : P.L. |
Dato : 03-11-06 14:27 |
|
On 03 Nov 2006 13:03:59 GMT, Niels Kristian Jensen
<nkj-2006@internetDYTgruppen.dk> wrote:
>P.L. <Not@Valid.invalid> wrote in news:akgkk2d181nkvejvbbfpl3taa8qamrntf9@
>4ax.com:
>
>> Måske dette link kan kaste lidt lys over det.
>>
>> http://www.securityspace.com/smysecure/catid.html?id=10074
>
>Tak for det link, det forklarede i hvert fald mig en del, jeg ikke vidste.
Var da så lidt.
| |
Peter Makholm (03-11-2006)
| Kommentar Fra : Peter Makholm |
Dato : 03-11-06 07:23 |
|
"N_B_DK" <N_B_DKSPAM@hotmail.com> writes:
> Nej det er det faktisk ikke, da portnumemret er ugyldigt er der ingen
> programmer der kan lytte på den port, og derfor kan man ikke svare på
> spørgsmålet (da spørgsmålet var hvilket hul er det der scannes efter,
> der er ingen huller på port 0)
Så er det faktisk sjovt at der allerede er en der har postet en link
til en kendt sårbarhed der netop handlede om port 0 (CVE-1999-0675).
At jeg så ikke helt tror at det er den der skannes efter er mindre
interessant, men netop fordi at portnummeret er ugyldigt[0] gør det til
en oplagt kandidat får sårbarheder i selve protokolimplementationen.
>> Men jeg er da nysgerrig efter at læse svaret, og derfor skyndte jeg
>> mig at åbne dit
>> link, som viste sig at fære fuldstændig spild af tid.
>
> Nej det fortæller netop hvad problemet er.
Ptjaaa, den giver noget baggrundsinformation der let går over hovedet
på folk når de efterfølgende siger at man ikke kan svare på spørgsmål
om sårbarheder på port 0.
Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
noget om hvilke sårbarheder der konkret kunne knytte sig til
skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
der allerede er henvist til.
//Peter Makholm
| |
Axel Hammerschmidt (04-11-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 04-11-06 13:32 |
|
Peter Makholm <peter@makholm.net> wrote:
<snip>
> Ptjaaa, den giver noget baggrundsinformation der let går over hovedet
> på folk når de efterfølgende siger at man ikke kan svare på spørgsmål
> om sårbarheder på port 0.
>
> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
> noget om hvilke sårbarheder der konkret kunne knytte sig til
> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
> der allerede er henvist til.
Og OP kunne bare afprøve om han har sårbarheder med
https://www.grc.com/x/portprobe=0
| |
Andreas Plesner Jaco~ (04-11-2006)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 04-11-06 14:45 |
|
On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
>> noget om hvilke sårbarheder der konkret kunne knytte sig til
>> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
>> der allerede er henvist til.
>
> Og OP kunne bare afprøve om han har sårbarheder med
>
> https://www.grc.com/x/portprobe=0
Nej, den applikation viser blot om en port er åben, hvilket port 0 i
sagens natur ikke er. Det betyder ikke at man ikke kan udnytte et hul i
maskinens protokolstak.
--
Andreas
| |
Axel Hammerschmidt (04-11-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 04-11-06 16:36 |
|
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> >> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
> >> noget om hvilke sårbarheder der konkret kunne knytte sig til
> >> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
> >> der allerede er henvist til.
> >
> > Og OP kunne bare afprøve om han har sårbarheder med
> >
> > https://www.grc.com/x/portprobe=0
>
> Nej, den applikation viser blot om en port er åben, hvilket port 0 i
> sagens natur ikke er. Det betyder ikke at man ikke kan udnytte et hul i
> maskinens protokolstak.
Nå, er den "i sagens natur" ikke det?
Men se f.eks
Message-ID: <1gsnhhd.16jh3w912wo8xsN%hlexa@hotmail.com>
eller
http://tinyurl.com/yzhurj
Det var der ikke nogen der havde en forklaring på, dengang.
Og applikationen scanner under alle omstændigheder TCP port 0.
| |
Andreas Plesner Jaco~ (04-11-2006)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 04-11-06 17:04 |
|
On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>> >
>> >> Så mens den nævner at port 0 udgør en potentiel risiko siger den ikke
>> >> noget om hvilke sårbarheder der konkret kunne knytte sig til
>> >> skanninger efter sårbarheder på port 0, for eksempel Firewall-1 fejlen
>> >> der allerede er henvist til.
>> >
>> > Og OP kunne bare afprøve om han har sårbarheder med
>> >
>> > https://www.grc.com/x/portprobe=0
>>
>> Nej, den applikation viser blot om en port er åben, hvilket port 0 i
>> sagens natur ikke er. Det betyder ikke at man ikke kan udnytte et hul i
>> maskinens protokolstak.
>
> Message-ID: <1gsnhhd.16jh3w912wo8xsN%hlexa@hotmail.com>
"svar" og "åben" er ikke det samme. Et svar kan fx være en TCP RST eller
en ICMP fejl.
--
Andreas
| |
Andreas Plesner Jaco~ (04-11-2006)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 04-11-06 17:05 |
|
On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> Det var der ikke nogen der havde en forklaring på, dengang.
I øvrigt, jeg gider ikke spilde min tid på at forklare Steve Gibsons
vildfarelser.
--
Andreas
| |
Axel Hammerschmidt (05-11-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 05-11-06 16:50 |
|
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> On 2006-11-04, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> > Det var der ikke nogen der havde en forklaring på, dengang.
>
> I øvrigt, jeg gider ikke spilde min tid på at forklare Steve Gibsons
> vildfarelser.
Det' helt i orden.
| |
Peter Makholm (03-11-2006)
| Kommentar Fra : Peter Makholm |
Dato : 03-11-06 12:38 |
|
"N_B_DK" <N_B_DKSPAM@hotmail.com> writes:
> "Peter Makholm" <peter@makholm.net> wrote in message
> news:87psc5uk04.fsf@login.hacking.dk
>> Så er det faktisk sjovt at der allerede er en der har postet en link
>> til en kendt sårbarhed der netop handlede om port 0 (CVE-1999-0675).
>
> Msg id ? for det indlæg har jeg ikke.
Message-ID: <akgkk2d181nkvejvbbfpl3taa8qamrntf9@4ax.com>
//Peter Makholm
| |
Peter Makholm (03-11-2006)
| Kommentar Fra : Peter Makholm |
Dato : 03-11-06 18:57 |
| | |
|
|