På jagt efter en portscanner

www.radmin.com der ligger et par stykker.

Jeg brugte på et tidspunkt LANguard Network Scanner, som godt nok var en trial ting.  Det var godt til at afdække både sikkerheds issues mv. på en given klient PC.

Jeg tror til gengæld du skal klappe hesten med at scanne hosts som www.dr.dk. En port scanning er essentielt et malicious attack, dvs. det tolkes som et hacker angreb med diverse handlinger til følge. Jeg tvivler på at nogen har ressourcer til at forfølge alle som portscanner, men laver du en decideret aggressiv portscanning, risikerer du at få ørene i maskinen. Jeg har selv forfulgt "script kiddies" på nettet, så jeg ved lidt om det :P

Hvis en port står åben på din maskine, betyder det at noget, en programstump af en eller anden art, på din maskine står aktivt og bruger den pågældende port.

C:\Winnt\System32\Drivers\Etc\services indeholder en beskrivelse af hvad en masse porte bliver brugt til, jeg kan ikke lige huske om de porte du nævner her er med i beskrivelsen. Men ellers, brug Google og skriv port 999 i søgefeltet, og læs lidt på resultaterne.

Og nej, du skal ikke have 25, 110 eller 80 åben når du surfer. Din maskine opretter selv en dynamisk port, gennem hvilken den udveksler data med, porte på speficikke numre er KUN hvis du provider en service, f.eks. mail server, http-server etc. Windows åbner dog en del porte på en given installation og det er præcis grunden til at du er sårbar overfor hacker angreb på din PC derhjemme også, selvom du ikke har hjemmeside mv. på maskinen.

Nmap er en god og simpel portskanner.
http://www.insecure.org/nmap/

MEN husk lige at det anses som ualmindelig dårlig stil - og måske endda ulovligt at skanne andres netværk. Skan derfor kun dine egne eller hvis du har fået lov til / blevet bedt om at skanne fx en kammerart.

Hvis et program åbner en port må man gå ud fra at det mener det skal bruge dem - og du så er enig er en anden sag - men det kommer jo an på hvordan du anvender programmet. Fx skal windows have port 445 åben for at du på et lokaltnet kan se de andre maskiner - men det er jo på ingen måde det samme som at du skal kunne tilgå port 445 ude fra internettet.

Grundlæggende set skal en privat pc ikke have nogle indgående porte tilgængelig fra internettet! Når du fx henter post er det jo en udgående forbindelse til port 110 på en server - det er ikke det samme som at port 110 skal være åben på din pc.

Så port 80 / 25 / 110 skal du kun have åben hvis du kører servere på din maskine...
Port 445 og de andre windows porte vil altid være åbent på din hjemmelan hvis du ikke har en lokal firewall - men de skal ikke kunne nåes udefra...

Du kan læse lidt mere om det her http://www.linuxbog.dk/sikkerhed/bog/services.html - selvom bogen er skrevet til Linux og du (måske) ikke anvender dette, er det stadig samme tanker om hvilke services og porte som er nødvendige...

Wise: Ang. porte, vil det så sige at når jeg henter mail ned på min PC fra eks. en mailserver, så er det ikke gennem port 110?

Ang. port 445, så regne rjeg me at windows selv vil holde den åben, hvis jeg har et LAN, det er vel ikke noget jeg manuelt skal pille ved?

Jeg syntes både at wise og edthebob kom med gode svar, så jeg vil gerne dele pointene lidt mellem jer. Hvis du edthebob derfor vil smide et svar, får du også lige nogle point ;o)

Takker.

Korrekt det er på serveren at det er port 110 der bruges - på din pc er det en eller anden tilfældig port højt oppe
Prøv fx at skrive "netstat /a" i en kommandoprompt
TCP    PC167:1117            81.19.246.12:http

Og ja, Windows holder selv port 445 åben, men hvis du fx sidder på et åbent netværk (andelsbolig, studie eller lignende) kan det være godt at lukke den i din firewall - da det ellers er muligt at tilgå din windowsboks udefra og forsøge at gætte dit password...

Okay, det var ret fedt. Jeg får en masse forskellige adresser. Nogle af dem er 'listening', andre 'established' og de sidste 'close_wait'. Jeg har f.eks en close wait på tcp port 1718, som peger på adforce.adtech.de. Jeg regner med at det betyder at jeg har f.eks en adware, som forsøger at hente eller sende oplysninger til adforce.adtech.de men at firewallen blokerer for det.

Min hotmail er åben på TCP 1087, men det er vel fordi det er en dynamisk port som hotmailen bruger til at hente mail ned på?

UDP kan jeg til gengæld ikke se noget på, selvom der er skrevet en række portnumre op.

De forbindelser der er her er IKKE lukket af firewall - hvis firewallen havde lukket kunne du ikke se dem i denne oversigt. Closed wait betyder at den ikke bruges lige nu...

Adtech er det bannerstyringssystem som eksperten bruger....

UDP er en broadcast protokol, ikke en connection baseret protokol, så der vil du ikke få at se at den står og "snakker med noget".

Det er pga. TCP's indbyggede fejlhåndtering at den etablerer deciderede kommunikations flows at de fixer en port på din maskine.

445 er en bastard at have åben på en "åben" internet forbindelse, så en firewall i form af software eller en router/hardware firewall hjælper lidt på at sove bedre om natten ;)

Tak for hjælpen begge. Edthebob vil du smide et svar, så kan du også få point?

Mvh
reginho

Sure

:) Det er kun en kommentar du har givet. kan ikke give point på det ;o)

Oh, sorry... jeg har drukket af potten tror jeg.