filtered port, tuneliranje ili bypass

[phreakbox]

Ako od točke A do točke B imam flitrirane pakete (znači da ne znam da li je open ili closed (online server)) i port 80 je zatvoren prema van. S druge strane mogu pingati od točke B do točke A i port 80 je open.

Zanima me kako zaobići filtrirane portove (npr. 80) s tim da ne koristim SSH niti Telnet kao tuneliranje ili socks metodom? Proxy?

[glaskoncILLa]

nisam bas dobro shvatio sto tocno zelis? koja si ti tocka?

edit; inace, nema veze sto je nesto filtrirano, odnosno javlja se kao takvo, ako se ti ne mozes spojiti na port ( ne pricam o nikakvim icmp probama) za tebe je zatvoren, thats it..

[phreakbox]

kratko: hocu proc kroz port 80 ali preko drugih portova da mi forwardira socks i tako nesto, mozda proxy...

filtered znaci da moze server biti up ili down nije zatvoren ali moze biti!!! > ev zašto

" The filtering
could be from a dedicated firewall device, router rules, or
host-based firewall software. These ports frustrate attackers
because they provide so little information. Sometimes they respond
with ICMP error messages such as type 3 code 13 (destination
unreachable: communication administratively prohibited), but
filters that simply drop probes without responding are far more
common. This forces Nmap to retry several times just in case the
probe was dropped due to network congestion rather than filtering.
This slows down the scan dramatically."

jel jasno?

[phreakbox]

nisam bas dobro shvatio sto tocno zelis? koja si ti tocka?

edit; inace, nema veze sto je nesto filtrirano, odnosno javlja se kao takvo, ako se ti ne mozes spojiti na port ( ne pricam o nikakvim icmp probama) za tebe je zatvoren, thats it..

ja sam tocka A

[glaskoncILLa]

kratko: hocu proc kroz port 80 ali preko drugih portova da mi forwardira socks i tako nesto, mozda proxy...

filtered znaci da moze server biti up ili down nije zatvoren ali moze biti!!! > ev zašto

" The filtering
could be from a dedicated firewall device, router rules, or
host-based firewall software. These ports frustrate attackers
because they provide so little information. Sometimes they respond
with ICMP error messages such as type 3 code 13 (destination
unreachable: communication administratively prohibited), but
filters that simply drop probes without responding are far more
common. This forces Nmap to retry several times just in case the
probe was dropped due to network congestion rather than filtering.
This slows down the scan dramatically."

jel jasno?

ok, a ja sam rekao da kad radis tako nesto to ne radis sa icmp probama, jel jasno?

da budem konkretniji, ako se radi od tcp servisu, a u tvom slucaju se radi, mozes jednostavno iskorisiti telnet, dakle telnet ip_adresa port , ako se konektas, znaci da su svi uvjeti za uspjesno spajanje do layera 4 ispunjeni, odnosno konkretno u tvom slucaju tvoj ip je u listi dozvoljenih.
u krajnjoj liniji i nmap moze raditi tcp ili udp probe, kako na pojedinacni port tako i na host/grupu hostova, a ovaj tekst koji si pasteao se odnosi na grupe hostova, za jedan host ti bilo kakvo skeniranje nece potrajati duze od minutu/dvije s cim mozes sasvim lijepo zivjeti.

dakle, ti imas neku kantu koja se nalazi iza firewalla, a ti bi zelio surfati ili postoji neki web server koji ima restrikcije na pristup a ti bi zelio otvoriti web?
iako, cisto sumnajm da ce biti izvedivo bilo sto od toga bez tuneliranja...

[phreakbox]

da, tocno. access-lists jasno je to meni, onda bi mogo "glumit" server cija je access lista allow da bi ukinuo restrikcije, ali to je jedino izvedivo da taj server na tocki B glumi proxy IP adresu cija je access lista "dozvoljena". znam za nmap, ali mislim da je ovo izvedivo arp spoofanje i slanje laznih IP adresa preko proxy-ja.

jos nesto sta mi nije jasno, jedni kazu da je taj port trojan drugi kazu da je to za neko zeus administriranje a to je port 9090. znas li nesto sta o tome? i ostali mogu pomoci? jer kud bas 9090 ko alternativni http 8080. a nasao sam i proxy-je na 9090 koji savrseno rade.

i sta je sa gopher-om? jel to jos ljudi koriste?

[glaskoncILLa]

mac spoofing bi ti tu vrlo malo pomogao, odnosno to se koristi uglavnom ako zelis pobrati necije pakete, a nalazite se u istom lan-u, odnosno sama arp tablica se nikad ni ne vidi izvan lan-a.

spoofanje ip-a se koristi ako ti nije vazno da dobijes odgovor od onog kome si poslao paket zato jer ga neces dobiti.
naime spoofanje ipa je zapravo mijenjanje source adrese u paketu, a destination kanta ce poslati odgovor onome sto pise u source adresi, dakle ako zamijenis tu adresu neces nikad dobiti odgovor.
prakticna primjena je kod ddos napada gdje napadacu nisu bitni odgovori.

proxy, ne vidim tu bas previse smisla, ako znas za kojeg ip-a mozes pristupiti i imas mogucnost staviti taj ip, onda to mozes napraviti i na svojoj kanti, ne treba ti proxy.

listu portova mozes pogledati na IANA-inom webu http://www.iana.org/assignments/port-numbers sto naravno ne znaci da netko ne moze iskoristiti odredjeni port i u druge svrhe, odnosno taj port moze biti i ssh ako pozelis da bude.

gopher, nemam pojma, prvi put cujem za njega nakon nesto godina..

[phreakbox]

oh thx na iscrpnom savjetu neke stvari sam naucio, zahvaljujuci tebi, ali jesi probao otkriti port 9090 ? jedni kazu trojan drugi za administriranje networkinga? kak to moze biti po istom portu a ranjivi su? i zasto su ti portovi otvoreni na javnim ip adresama?

[glaskoncILLa]

dao sam ti listu portova, odnosno listu registracija u IANA-i, ali to nista ne znaci, portove mozes mijenjati, tako da na 9090 mozes staviti i da slusa http i https i ssh ili sto god ti padne na pamet.

zapravo je uobicajena stvar kad se razmislja o nekom vecem securityu da se promijeni defaultni port za servise i to se obicno stvaljaju visoki portovi buduci da vecina skenera skenira samo niske u defaultnim postavkama.

dakle 9090 moze biti sto god je taj koji ga je podesio zeli.
eventualno mozes saznati sto to tocno je ako nije iskljucio server signature tako da se telnetas na taj port, ako postoji sig, javiti ce ti sta je.