tarpit - anti-scan software

Giorgos Keramidas keramida at ceid.upatras.gr
Sun Mar 30 01:45:04 EET 2003


Δεν γίνεται να μην κάνεις top-post και να γράφεις την απάντησή σου
κάτω από αυτά που απαντάς; :-P

On 2003-03-29 19:36, fateswarm <admin at www0.org> wrote:
>On Sat, Mar 29, 2003 at 02:33:57AM -0500, Alexandros Papadopoulos wrote:
>> Θα ήταν πολύ ωραίο να υπήρχε κάποιο software (kernel module ίσως),
>> που να έδινε ψεύτικες πληροφορίες σε portscans. Γνωρίζω μόνο την
>> ύπαρξη παρόμοιου module που δίνει fake fingerpring σε nmap scans
>> [0], αλλά αυτό που θέλω είναι κάτι που να δείχνει *τα πάντα*
>> ανοιχτά σε ένα σύστημα, ασχέτως του αν το μηχάνημα έχει listening
>> ports ή όχι. Ξέρει κανείς τίποτα που να κάνει αυτή τη δουλειά;
>>
>> Προς το παρόν σκέφτομαι να γράψω ένα scriptάκι που να σηκώνει
>> μπόλικα listening netcats [1] (nc -l -p <port number> > /dev/null),
>> αλλά προφανώς δεν είναι ιδιαίτερα ασφαλές.
>
> To ip_personality patch pou 8a breis me ligo googling to kanei auto.
> mhn akous ti propaganda tou keramida yper tou freebsd, to linux ta
> kanei auta polu kalutera ap'to freebsd ;-)

Χμ, δεν έκανα κάποια σύγκριση λειτουργικών συστημάτων στο mail μου αν
θυμάμαι καλά.

Είπα δυο πολύ συγκεκριμένα πράγματα που το portsentry τα έκανε χάλια
μόλις το έτρεξα για να κάνω το ένα από τα δυο πράγματα που ανέφερε ο
Αλέξανδρος.  Για το nmap fingerprinting είπα πως δεν ξέρω αν γίνεται
γιατί το nmap χρησιμοποιεί heuristics και καταλαβαίνει από τον τρόπο
που απαντά το TCP/IP stack τι λειτουργικό τρέχεις, ότι δεν 'μαντεύει'
πάντα σωστά και ότι δεν προσφέρει καμία ιδιαίτερη αύξηση στην ασφάλεια
του συστήματος συνολικά, αφού η μόνη περίπτωση στην οποία έχει νόημα
να μην ξέρει ο άλλος τι τρέχεις αντιμετωπίζεται με συγκεκριμένο τρόπο.

Εσύ που είδες προπαγάνδα τώρα σε αυτά, ιδέα δεν έχω.

Από την άλλη, σαν απόδειξη των όσων λέων, όταν με ξαναδείς στο IRC
κάνε ένα scan στο PC μου με nmap και πες μου αν βρίσκει με κάποια
fingerprinting μέθοδο τι τρέχω.  Είναι γνωστό ότι τρέχω FreeBSD, μπορώ
να σου πω πριν αρχίσεις να κάνεις το scan και το ακριβές `uname -v'
output, αλλά μην ελπίζεις να το βρεις με nmap.  Αυτό που κάνω είναι να
έχω ένα firewall με κατάλληλες ρυθμίσεις για να μην περνάει τίποτα που
δεν είναι traffic από κάποιο υπάρχον connection, να μην αφήνω να
περνάνε fragments (το PPP interface έχει πολύ καλό MSS και δεν
χρειάζεται σχεδόν ποτέ να χρησιμοποιήσω fragments ή πολύ μικρά
πακέτα), και μερικά άλλα απλά κόλπα που κάθε firewall υποστηρίζει...
Είτε FreeBSD, είτε Linux.

Αυτό που λες με το ip_personality patch δεν ξέρω πως δουλεύει, αλλά θα
το κοιτάξω.  Είναι το ένα από τα δυο πράγματα που λέει παραπάνω ο
Αλέξανδρος όμως.  Συγκεκριμένα το fake fingerprint.  Για τα port scans
που δείχνουν ακόμα και τα κλειστά ports σαν ανοιχτά, τι προτείνεις;

- Γιώργος




More information about the Linux-greek-users mailing list