[FreeBSD] Filtered Ports

[Miklos Niedermayer]

Hello,

On Thu, Apr 19, 2001 at 07:42:29AM +0000, Gabor Zahemszky wrote:

> 3) a lokalis gepen futo netstat nem rossz, csak Mico elfelejtkezett egy
> aprosagrol: rootkit - nem kell tul sokat keresgelni, hogy BSD-re is talaljon az
> ember.  Most ugye felteteleztem, hogy nem Te irtad, es tetted fol a gepre es
> el is felejtetted.  Ugyhogy nem bizhatsz meg egy sima netstatban 100%-ig.
> 4) es mivel scannelsz?  legutolso verzioju nmap, vagy mas?

Igen.  Én igazából abba az irányba próbáltam elvinni a dolgot, hogy nézze
meg netstattal, aztán ha nincs rendben, úgyis visszaír.  Mert nem kaptunk pl.
infót arról, hogy melyik porton játszódik ez az esemény.  Esetleg több
különböző gépről megy az a portscannelés, és úgy ad különböző eredményeket?
Nagyon sok minden elképzelhető, akár az is, hogy ident visszaellenőrzés miatt
gázol (bár nem jellemző), ezért én mindenképpen jól körülnéznék azon a
szerveren.  Először is, hogy az adott port tudatosan futtatott szolgáltatás-e.
Ha nem, akkor <panic>.  Ha igen, akkor esetleg megnézni, hogy amúgy minden
oké-e vele.  Megnézni mondjuk valami magasabb verbose szinten, hogy a
szolgáltatás mit loggol, amikor portscannelsz és "filtered".  Ne feledjük,
hogy az ilyen NMAP-szerű stealth scan és hasonló dolgok ellen FreeBSD alatt
(biztos máshol is) rengeteg szinten lehet védekezni, az IPFiltertől elkezdve
bizonyos kernel-opciókig.  Lehet, hogy ilyesmi zavar be.


Puszi

Mico