# nmap non capisco sti messaggi??

## rota

bella stavo facendo un po di prove con nmap su un mio sito e mi da sto risultato 

# nmap -O  www.mioSito.com

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006-08-27 04:56 CEST

Stats: 0:03:24 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 32.49% done; ETC: 05:06 (0:07:04 remaining)

Stats: 0:03:26 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 32.49% done; ETC: 05:06 (0:07:07 remaining)

Stats: 0:03:27 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 32.50% done; ETC: 05:06 (0:07:09 remaining)

naturalemente l'indirizzo lo cambiato ..pero non capisco cosa è sto risultato ..e se come penso che si tratti di un filtro che blocca le scansioni ..come posso avere lo stesso risultato???

----------

## X-Act!

Il tuo sito è dietro un firewall?

----------

## .:chrome:.

tanto per cominciare le prove non si fanno con nmap, ma esistono tool pecifici.

il tuo provider potrebbe giustamente prendersela, nel momento in cui un suo utente si mettere a fare portscan a destra e manca.

quanto ai messaggi... hai problemi a tradurre dall'inglese?

----------

## rota

mm.potresti spiegarmi meglio??' che vl dire che non si fano con nmap?? non serve per fare scansioni??' be allora meglio di quello cosa cia stà??

vabuo cmq quali sono sti programmi che mi interessano?? calcola che non me servono per fare cose illegali ..ma solo per aiutarmi nell mio lavoro ...e dietro aconsenso dell cliente...

cmq...si cio un po di problemi con l'inglese...  :Embarassed: 

----------

## .:chrome:.

vuol dire che i portscan non forniscono nessuna informazione utile circa lo stato di un server, o meglio... se il server è tuo ci sono altri tool che puoi usare che forniscono informazioni più dettagliate e che non violano netiquette né convenzioni di utilizzo della rete.

----------

## Kernel78

 *k.gothmog wrote:*   

> vuol dire che i portscan non forniscono nessuna informazione utile circa lo stato di un server, o meglio... se il server è tuo ci sono altri tool che puoi usare che forniscono informazioni più dettagliate e che non violano netiquette né convenzioni di utilizzo della rete.

 

Domanda che non vuole essere polemica ma solo curiosa (e me la sono posta già da tempo): se io voglio controllare lo stato delle porte dall'esterno l'unica è fare una scansione delle porte ? converrebbe pianificare la cosa in anticipo con chi si occupa dell'hosting per evitare incomprensioni e/o denunce (sarò paranoico) ?

----------

## rota

k.gothmog

scusami ma non sono daccordo....ciè non capisco ..perche io nmap se lo uso come si deve posso avere abastanzza info...

infatti usando nmap -O io ricavo dei banner che mi permettono di avere abastanzza informazioni dell tipo che sistema operativo usano e altre iformazzioni...

quello che dici te va bene se io faccio dei testi dentro l'area ethernet....ma se volessi vedere cosa la gente riesce a vedere solo con nmap posso avere le idee chiare...

cmq non so cosi bravo da poter affermare che cio raggione....anzzi so abbastanza confuso...  :Embarassed:   :Embarassed: 

----------

## federico

Io mi trovo daccordo con rota.

Se c'e' la necessita' di vedere quali porte/servizi appaiono aperti dall'esterno una scansione delle porte di una macchina tramite nmap e' un buona indicazione. Vi sono poi altri software piu' complessi (tanto per fare un nome famoso, nessus --> provate a guardare i varii tool sotto /etc/portage/net-analyzer/ ) che fanno questo e anche altre cose, ma bisogna vedere se l'utilizzatore e' in grado di capire l'output e soprattutto se ne ha bisogno.

Per quello che riguarda invece la questione legale sono un poco in dubbio, ho sempre letto da fonti piu' o meno autorevoli pareri contrastanti, penso che non sia illegale eseguire uno scanport per ragioni che possiamo stare qui a discutere (tuttavia preferirei leggere solo di notizie certe, qualora qualcuno ne avesse)

Federico

----------

## X-Act!

Io trovo nmap molto utile proprio per capire cosa si vede delle mie macchine dall'esterno. 

Nota bene: cosa si vede non cosa c'è! Non lascerei mai ad es il SO di un server così facilmente identificabile!

Certo poi dipende da cosa c'è sul server e dal livello di paranoia richiesto...

----------

## .:chrome:.

nmap non è una soluzione

genera solo falsi allarmi sui sistemi di intrusion detection  epersonalmente sono d'accordissimo con i provider (pochi purtroppo) che al primo portscan abbattono la connessione o ti infilano in una kill-route list.

per vedere lo stato delle porte aperte esiste netstat che è molto più veloce e veritiero di nmap, che fallisce miseramente in determinate condizioni e può essere ingannato con una facilità estrema

----------

## rota

m...interessante.....

se ai voglia mi spieghi come si fanno ste 2 cose ho mi consigli guide !! 

```

kill-route list, e come ingannare nmap....
```

cmq....grazie per avermi chiarito alcune cose...

cmq....se ho capito bene te mi stai dicendo come fare dei test nella rete interna.....e quindi me consigli netstat.  ..ma se io volessi fare dei test stando fuori dalla rete interna??' allora ritorna il discorsso di prima me tocca usare nmap....e poi lo consigliano in molti per fare sti tipo di test.....

----------

## .:chrome:.

 *rota wrote:*   

> cmq....se ho capito bene te mi stai dicendo come fare dei test nella rete interna.....e quindi me consigli netstat.  ..ma se io volessi fare dei test stando fuori dalla rete interna??' allora ritorna il discorsso di prima me tocca usare nmap....e poi lo consigliano in molti per fare sti tipo di test.....

 

non devi fare test sulla rete esterna

netstat ti dice quali servizi hanno fatto il bind sulle interfacce

se un servizio ascolta SOLO su localhost non risponderà mai a richieste che arrivano alle altre interfacce

se è in ascolto su eth0 non risponderà mai su quelle che arrivano da eth1

e non può essere altrimenti, a meno che tu non creda nei miracoli

se non hai accesso alla macchina su cui fare il test probabilmente è perché l'amministratore non te lo vuole dare e quindi non vuole che tu faccia dei test quindi fanno bene quelli che chiudono tutte le connessioni verso gli indirizzi IP che fanno portscan

quelli che consigliano di usare nmap per fare test ignorano l'esistenza di tutto quanto scritto sopra, il che equivale ad un'ammissione di incapacità.

una cosa su tutte: la scansione con nmap impiega da qualche decondo a molti minuti e ancora non mi da nessun risultato per nulla affidabile specie se si è dietro un firewall o se il sistema bersaglio si comporta in determinati modi. netstat fornisce risultati esatti e lo fa in modo istantaneo

fine del discorso

 *X-Act! wrote:*   

> Io trovo nmap molto utile proprio per capire cosa si vede delle mie macchine dall'esterno. 
> 
> Nota bene: cosa si vede non cosa c'è! Non lascerei mai ad es il SO di un server così facilmente identificabile!

 

e perché mai? quali vantaggi ti da questa cosa?

dopo che ti fai identificare come windows cosa succede? niente, credo

non è sicuramente con questi trucchi che si possono aggirare exploit del codice php o di mod_ssl o cose simili

e poi che senso ha, quando i servizi stessi si presentano con una server string che contiene anche il nome del sistema operativo? qui non si tratta di paranoia, ma di giochetti inutili che danno finta sicurezza.

presentarsi in modo corretto certe volte può essere fondamentale

----------

## X-Act!

Mi autoquoto:

 *X-Act! wrote:*   

> Certo poi dipende da cosa c'è sul server...

 

Non sta certo in questo la sicurezza di una macchina!

----------

## .:chrome:.

 *X-Act! wrote:*   

> Mi autoquoto:
> 
>  *X-Act! wrote:*   Certo poi dipende da cosa c'è sul server... 
> 
> Non sta certo in questo la sicurezza di una macchina!

 

fosse anche il server di una banca... cosa guadagno nascondendo nome e versione del sistema?

non è che attacchi ed intrusioni falliscono perché non si conosce il nome

se uno non è capace di configurare i servizi gli bucano la macchina anche se questa non si presenta

se il sistema è ben configurato è ugualmente sicuro sia che si presenti con il suo nome, sia che si presenti come Giovanni Rana

----------

## rota

m...vabuo...abbiamo ideei diverse ..francamente sono poche le cose con qui sono daccordo con te...(sono daccordo  sull fatto di ingannare nmap) ma per il resto non mi convince tanto ..nmap è un valido tool di scansione...e poi ricavare banner dove mi dicono che Os gira mi è utile...metti che voglio sapere su quale ip gira il firewall ecc se becco una macchina BSD parto col presuposto che sia il firewall ..e se becco windowss...di certo è un server DMB( almeno con alcuni server delle telecom ) ..vabuo mo ho fatto esempi dell cavolo ..che pero mi aiutano a capire come è impostata la rete di una azzienda ecc...e poi netstat non mi convince tanto ...perche io parto dell'ideea che tutto quello che mi dicono i test che faccio dentro la rete interna non sono veriteri all 100%...cmq non so tanto esperto di sicurezza e di altre cose..quindi la chiudo qui....grazie per avermi chiarito alcune cose...( mo devo solo verificarle..)  :Embarassed:   :Laughing: 

----------

## Kernel78

Come ogni volta in cui leggo un post di k, dopo aver scremato la sua "ruvidità"  :Wink:  , trovo sempre spunti interessanti di riflessione che in genere mi portano a correggere idee sbagliate che avevo.

Mi viene però in mente un caso: se nella mia macchina fosse installato un rootkit probabilmente sfuggirebbe ad ogni scansione interna (se fosse fatto bene) e quindi solo dall'esterno potrei sapere se esiste una porta aperta ... certo se il rootkit implementa anche un server knock allora anche una scansione dall'esterno risulta inutile (oddio come faccio a sapere se ho un rootkit installato ?!!?!?!? scusate, a volte mi faccio prendere dalla paranoia).

Un test dall'esterno in casi più reali penso possa aiutarmi a valutare se il firewall è ben configurato ma non avendo mai implementato firewall complessi potrei aver detto una cavolata.

----------

## makoomba

 *k.gothmog wrote:*   

> nmap non è una soluzione
> 
> genera solo falsi allarmi sui sistemi di intrusion detection  epersonalmente sono d'accordissimo con i provider (pochi purtroppo) che al primo portscan abbattono la connessione o ti infilano in una kill-route list.

 

è un discorso che può avere senso quando sei in hosting, non certo se il server è tuo.

con un accesso alla macchina, ovviamente è molto più comodo utilizzare netstat/lsof per sapere quali sono i servizi attivi.

se però stai configurando un firewall/nids, netstat non ti serve a nulla, mentre nmap si rivela un tool molto comodo per fare testing.

----------

## federico

[quote="k.gothmog]fosse anche il server di una banca... cosa guadagno nascondendo nome e versione del sistema?

non è che attacchi ed intrusioni falliscono perché non si conosce il nome[/quote]

E' vero, ma rompi ancora un po' di piu' le scatole a chi produce l'attacco. E' piu' facile se e' tutto alla luce del sole mentre le cose meno ovvie scoraggiano quella parte di attaccanti della domenica che mirano all'obbiettivo piu' semplice.

----------

## Kernel78

 *federico wrote:*   

> [quote="k.gothmog]fosse anche il server di una banca... cosa guadagno nascondendo nome e versione del sistema?
> 
> non è che attacchi ed intrusioni falliscono perché non si conosce il nome

 

E' vero, ma rompi ancora un po' di piu' le scatole a chi produce l'attacco. E' piu' facile se e' tutto alla luce del sole mentre le cose meno ovvie scoraggiano quella parte di attaccanti della domenica che mirano all'obbiettivo piu' semplice.[/quote]

Mi sembra tanto la "windows way" ovvero la famigerata "security trought obscurity"  :Sad: 

----------

## X-Act!

Secondo me al giorno d'oggi ci sono due tipi di persone, che i giornali amano tanto racchiudere insieme nella definizione di hacker, che potrebbero attaccare una macchina su internet e dai quali pertanto un addetto alla sicurezza dovrebbe "difendersi":

- la prima è quella di coloro che decidono prima quale macchina attaccare (ad es. il mio sito web perchè io gli sto antipatico) e dopo si ingegnano a capire cosa c'è su quella macchina e cosa possono usare per entrate. Se sono più bravi di me magari ci riescono pure e in questo caso (indipendentemente dai loro scopi) si meritano il mio rispetto da un punto di vista esclusivamente tecnico. Per fare questo hanno probabilmente studiato a lungo ed hanno grande esperienza, sono mossi dai più svariati moventi (dalla delinquenza pura ai più alti ideali) e sono il motivo per cui le macchine devono essere "sicure".

- la seconda è quella di chi, al contrario, sceglie prima con cosa entrare magari perchè ha appena scoperto l'ultimo exploit della tal versione di quel programma che gira sul tal SO e poi parte per tutta internet alla ricerca di una macchina che sia vulnerabile proprio a quello e quando magari la trova è un server coreano che non sapresti dire neanche di che tratta. In questa categoria rientrano i ragazzini che leggono le riviste di hacker in edicola, quelli che pensano che dire di essere un hacker ti fa apparire fico e le donne cascano ai tuoi piedi, le fantomatiche sigle di gruppi hacker che si fanno ridicoli siti su hosting gratuiti e li riempiono solo di teschi dimostrando che non conoscono neanche l'html, ecc.

Hanno ovviamente conoscenze teniche notevolmente inferiori ai precendeti e i loro motivi sono decisamente meno profondi. Fanno ne più e ne meno quello che può fare uno script.

Ora se questi giochetti di cui parliamo (tipo nascondere il SO) NON rendono una macchina sicura e quindi NON ti proteggono in nessun modo dai "pericoli" che possono venire dai primi, sicuramente riducono parecchoi i "fastidi" che vengono  dai secondi.

Se questi sono i cattivi, dall'altra parte ci sono i buoni, e anche qui, purtroppo, di due categorie:

- gli amministratori che applicano la 

 *Kernel78 wrote:*   

> ... "windows way" ovvero la famigerata "security trought obscurity" 

 

E' come se lasciassero la porta di casa aperta e non dicessero a nessuno dove abitano: prima o poi verranno derubati!

- all'opposto ci sono "quelli bravi", quelli che, come k.gothmog, sanno di cosa tratta il lavoro che svolgono. Loro si montano prima la porta blindata a prova di buldozer e poi danno a tutti il proprio indirizzo, tanto sanno che nessuno potrà mai entrare.

Io sono convinto, per restare nell'esempio, che la porta blindata sia d'obbligo, mentre tenere nascosto l'indirizzo non serve quasi a niente. Per quel "quasi" qualche volta l'ho fatto, non ho mai basato la mia sicurezza su quello, ne ho dormito per quello sonni più tranquilli, ma l'ho fatto e non mi sento di aver sbagliato. Infondo costa così poco...

P.S. Mi sa che siamo un po' OT rispetto all'argomento iniziale del thread...

P.S.2 Ma perchè i miei post sono sempre così chilometrici??

----------

## .:chrome:.

 *federico wrote:*   

> E' vero, ma rompi ancora un po' di piu' le scatole a chi produce l'attacco. E' piu' facile se e' tutto alla luce del sole mentre le cose meno ovvie scoraggiano quella parte di attaccanti della domenica che mirano all'obbiettivo piu' semplice.

 

uhm... non sono del tutto d'accordo

come hai detto tu stesso, si tratta di "attaccanti della domenica", che in fondo nn possono ptodurre grande danno se non riempire i log con registrazioni che sono solo fastidiose. non mi va di sprecare tempo per loro. vale la pena di investire tempo per proteggersi da quelli bravi davvero, e a quelli non gliene frega niente di chi dice di essere il tuo sistema.

quoto Kernel78. Security by Obscurity è una falsa sicurezza

@X-Act!:

uhm... il tuo ultimo post mi piace parecchio. personalmente credo che sia un ragionamento corretto (più del primo)... ma per carità, si tratta di opinione personale

@Kernel78:

non sono sicuro di avere capito bene il tuo ragionamento, ma se arrivi ad avere un rootkit non sarà facile rilevarlo né con netstat, né con nmap, né con altro. i rootkit oscurano tutto quello che fanno sotto ogni punto di vista

mi è capitato una volta solo di trovarne uno. ho staccato la spina e ho formattato tutto. personalmente non vedo altra soluzione

----------

## rota

m...spero che dopo tutto quello che ho detto non mi prendiate per un lamer....perche io sto facendo solo domande per capire alcuni concetti di sicurezza ecc....non ci tengo a essere il cosidetto attancante della domenica..anche perche non mi interessa fare quelle cose...ma fare esperienzza nell mio lavoro ....  :Embarassed: 

----------

## rota

cmq volevo ringrazziarti ....  :Very Happy:   :Wink: 

----------

## GiRa

Io uso nmap solo per configurare gli IDS!

Provo le varie scansioni e vedo se vengono ammazzate correttamente.

----------

## .:chrome:.

 *GiRa wrote:*   

> Io uso nmap solo per configurare gli IDS!
> 
> Provo le varie scansioni e vedo se vengono ammazzate correttamente.

 

appunto

@Rota:

voler capire va benissimo, ma di fatto quello è un comportamento da lamer.

se vuoi accettare un consiglio, io cambierei modo. i tool necessari a lavorare bene e meglio ti sono stati indicati

sta a te decidere se accettare il consiglio o perseguire la tua strada. si tratta di scelte personali

----------

## X-Act!

Mi permetto un altro consiglio:

Secondo me va benissimo imparare, conoscere e saper usare più tool possibili proprio per capire per cosa è più adatto ciascuno di essi. In particolare un tool sofisticato come nmap ti può dare bellissimi spunti per capire in profondità tutta una serie di concetti che sono alla base del funzionamento delle reti prima e quindi della sicurezza poi.

In altre parole: usalo e usalo molto, solo non usarlo su server in produzione!!

Prendi una macchina, apri alcune porte, chiudine altre, mettici un firewall, "scannala" con nmap, studiala con netstat o lsof, confronta i diversi risultati di diversi tool e chiediti perchè sono diversi e in che casi possono essere uguali, ecc.

Secondo me questo è molto educativo, ma se lo fai su una tua macchina sei sicuro di non dare fastidio a nessuno e soprattutto di non essere "frainteso".

Se un provider ti mette in blacklist poi vaglielo a spiegare che stavi cercando di capire cosa fa quell'opzione...

----------

## GiRa

```
$ cd /usr/portage/net-analyzer/

$ esearch * | less 
```

Secondo me un comando da dare  :Smile: 

----------

## Kernel78

 *GiRa wrote:*   

> 
> 
> ```
> $ cd /usr/portage/net-analyzer/
> 
> ...

 

oppure 

```
eix -C net-analyzer | less
```

----------

