Toon posts:

'ICMP Destination Unreachable' terugsturen?

Pagina: 1
Acties:

donderdag 20 maart 2003 08:45

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Topicstarter
Ik ben er eigenlijk altijd vanuit gegaan als je al je verkeer dropt dat je dan het meest stealth bent. maar gisteren deed ik een UDP-scan op mijn eigen firewall (met NMAP) en die gaf aan dat alle poorten open stonden.
Dit kwam omdat mijn firewall geen ICMP pakketen doorlaat dus er geen 'ICMP Destination Unreachable' pakket kan worden verstuurd.

Nou vroeg ik me ten eerste af of als ik mijn computer uit zet of die pakketen dan door de ISP worden verstuurd.

Ten tweede vroeg ik mij af wat veiliger/stealther is om deze pakketen wel of niet te versturen.

Mistakes are proof that you are trying...

donderdag 20 maart 2003 09:07

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Seth4Chaos schreef op 20 maart 2003 @ 08:45:
Ik ben er eigenlijk altijd vanuit gegaan als je al je verkeer dropt dat je dan het meest stealth bent. maar gisteren deed ik een UDP-scan op mijn eigen firewall (met NMAP) en die gaf aan dat alle poorten open stonden.
Dit kwam omdat mijn firewall geen ICMP pakketen doorlaat dus er geen 'ICMP Destination Unreachable' pakket kan worden verstuurd.

Nou vroeg ik me ten eerste af of als ik mijn computer uit zet of die pakketen dan door de ISP worden verstuurd.

Ten tweede vroeg ik mij af wat veiliger/stealther is om deze pakketen wel of niet te versturen.
Nou als jouw pc uit staat of geen verbinding heeft komen die pakketjes nooit aan, dus dan krijg je echt reply met een scan.

het feit dat alles open staat bij je bij een scan wilt volgens mij toch echt zeggen dat je firewall niet helemaal fris is hoor..

kan je remote ook gewoon connecten naar de open poorten?
probeer dat's....

donderdag 20 maart 2003 09:12

Acties:
  • Pwigle
  • Registratie: December 2000
  • Laatst online: 31-03 16:10

Pwigle

Heeft niks met icmp te maken, dat is een ander protocol. Je firewall is misschien wel leuk geconfigureerd voor TCP maar niet UDP, beter instellen zou moeten helpen.
kan je remote ook gewoon connecten naar de open poorten?
probeer dat's....
Op UDP ?
Nou als jouw pc uit staat of geen verbinding heeft komen die pakketjes nooit aan, dus dan krijg je echt reply met een scan.
Inderdaad, dat is pas stealth :)

donderdag 20 maart 2003 09:16

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Topicstarter
possamai schreef op 20 March 2003 @ 09:07:
[...]


Nou als jouw pc uit staat of geen verbinding heeft komen die pakketjes nooit aan, dus dan krijg je echt reply met een scan.
Het zou zo kunnen zijn dat de ISP dit pakket dan stuurt omdat die mij niet kan berijken (weet niet exact hoe dit werkt maar dit zou ik me voor kunnen stellen
het feit dat alles open staat bij je bij een scan wilt volgens mij toch echt zeggen dat je firewall niet helemaal fris is hoor..
We hebben het hier over de UDP poorten he. Deze worden door NMAP als 'open' gezien als er geen 'ICMP Destination Unreachable' pakket wordt ontvangen en deze verstuur ik dus niet.
Wat er werkelijk gebeurd is dat mijn firewall alles dropt dus opzich qua beveiliging zit het wel goed.
kan je remote ook gewoon connecten naar de open poorten?
probeer dat's....
zoals ik hierboven dus zei gaat dat niet lukken omdat alles meteen gedropt wordt dus een connect kan je al helemaal vergeten.

Mijn grote vraag is dus eigenlijk of het verstandig is om een pakket terug te sturen (bij UDP connect) of alleen te droppen. Dit omdat bij TCP het juist verstandig is om alleen te droppen en nix terug te sturen.

Mistakes are proof that you are trying...

donderdag 20 maart 2003 09:17

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Topicstarter
DaPoztMaster schreef op 20 maart 2003 @ 09:12:
Heeft niks met icmp te maken, dat is een ander protocol. Je firewall is misschien wel leuk geconfigureerd voor TCP maar niet UDP, beter instellen zou moeten helpen.
hiermee doel je op het WEL terugsturen van die 'ICMP Destination Unreachable' pakketjes?

Mistakes are proof that you are trying...

donderdag 20 maart 2003 12:18

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

volgens mij blockt je firewall het gewoon niet. simpel
anders hoort ie geen 'open' aan te geven maar in iedergeval closed.
dus als je nou eerst 's checkt of je firewall de boel wel ECHT blockt...

donderdag 20 maart 2003 12:28

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Topicstarter
possamai schreef op 20 maart 2003 @ 12:18:
volgens mij blockt je firewall het gewoon niet. simpel
anders hoort ie geen 'open' aan te geven maar in iedergeval closed.
dus als je nou eerst 's checkt of je firewall de boel wel ECHT blockt...
code:
1
2
3
4
5
6
7
8
9
10

root@mimas:~# iptables -n -L INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination         
-knip-
PUB_SERV   udp  --  0.0.0.0/0            0.0.0.0/0          state NEW udp dpt:53 

root@mimas:~# iptables -n -L PUB_SERV 
Chain PUB_SERV (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0


Ik heb wat weggeknipt maar dit zijn de enige regels die op (inkomend) UDP verkeer reageren.
En zoals je ziet is de default DROP dus alle inkomende UDP pakketten worden gedropt.

Het 'ICMP Destination Unreachable' wordt wel verstuurd (als reactie) maar wordt vervolgens geblokeerd door de firewall zodat deze niet aankomt.

En even een stukje uit de manpage van nmap
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

       -sU    UDP scans: This method is used to  determine  which
              UDP  (User  Datagram  Protocol,  RFC 768) ports are
              open on a host.  The technique is to  send  0  byte
              udp packets to each port on the target machine.  If
              we receive an ICMP port unreachable  message,  then
              the  port  is  closed.   Otherwise  we assume it is
              open.  Unfortunately,  firewalls  often  block  the
              port  unreachable  messages,  causing  the  port to
              appear open.  Sometimes an ISP will  block  only  a
              few  specific  dangerous  ports such as 31337 (back
              orifice) and 139 (Windows NetBIOS), making it  look
              like  these  vulnerable  ports  are open.  So don't
              panic immediately.  Unfortunately, it isn't  always
              trivial  to  differentiate  between  real  open UDP
              ports and these filtered false-positives.


Dus het is geen vraag of mijn firewall wel veilig is en/of goed staat maar ik wilde een discussie opstarten wat jullie veiliger/stealther vinden wel of niet zo'n pakket terugsturen.

Mistakes are proof that you are trying...

donderdag 20 maart 2003 13:12

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Seth4Chaos schreef op 20 maart 2003 @ 08:45:
Ik ben er eigenlijk altijd vanuit gegaan als je al je verkeer dropt dat je dan het meest stealth bent. maar gisteren deed ik een UDP-scan op mijn eigen firewall (met NMAP) en die gaf aan dat alle poorten open stonden.
Dit kwam omdat mijn firewall geen ICMP pakketen doorlaat dus er geen 'ICMP Destination Unreachable' pakket kan worden verstuurd.

Nou vroeg ik me ten eerste af of als ik mijn computer uit zet of die pakketen dan door de ISP worden verstuurd.
RFC 1812, pages 56 and 57:
If a packet is to be forwarded to a host on a network that is directly connected to the router (i.e., the router is the last-hop router) and the router has ascertained that there is no path to the destination host then the router MUST generate a Destination Unreachable, Code 1 (Host Unreachable) ICMP message.
Dus ja de router zou het ICMP 'Host Unreachable' moeten sturen als er geen route is naar je computer. Echter als je computer in een subnet (van bv een ethernet) zit en de router heeft een route naar het subnet dan stuurt de router geen ICMP 'Host Unreachable' als je computer niet aan staat.
Blijft alleen de vraag wat de router/switch doet bij een ARP failure. Kan best dat er dan alsnog een ICMP 'Host Unreachable' wordt verstuurt.

Zoals alijd is de 'proof of the pudding in the eating'. Oftewel zet je computer uit en laat iemand anders je scannen.
Ten tweede vroeg ik mij af wat veiliger/stealther is om deze pakketen wel of niet te versturen.
Als je zelf een ICMP 'Host Unreachable' stuurt dan staat in de IP header als source address je eigen ip ipv dat van je ISP.
Dus dan geef je zelf aan dat je er wel bent maar net doet als of je er niet bent.
Niet erg stealthy dus. Beters is gewoon je mond te houden als de grote boze wolf komt te vragen of er nog lekker lammetjes zijn.
Seth4Chaos schreef op 20 March 2003 @ 12:28:
[...]


code:
1
2
3
4
5
6
7
8
9
10

root@mimas:~# iptables -n -L INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination         
-knip-
PUB_SERV   udp  --  0.0.0.0/0            0.0.0.0/0          state NEW udp dpt:53 

root@mimas:~# iptables -n -L PUB_SERV 
Chain PUB_SERV (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0


Ik heb wat weggeknipt maar dit zijn de enige regels die op (inkomend) UDP verkeer reageren.
En zoals je ziet is de default DROP dus alle inkomende UDP pakketten worden gedropt.
DROP stuurt geen 'Destination unreachable' ICMP op daarvoor moet je REJECT gebruiken (waarbij je ook de type fout kan opgeven met de --reject-with optie).

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

donderdag 20 maart 2003 13:22

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Topicstarter
Dawns_sister schreef op 20 March 2003 @ 13:12:
[...]


RFC 1812, pages 56 and 57:

[...]

Dus ja de router zou het ICMP 'Host Unreachable' moeten sturen als er geen route is naar je computer. Echter als je computer in een subnet (van bv een ethernet) zit en de router heeft een route naar het subnet dan stuurt de router geen ICMP 'Host Unreachable' als je computer niet aan staat.
Blijft alleen de vraag wat de router/switch doet bij een ARP failure. Kan best dat er dan alsnog een ICMP 'Host Unreachable' wordt verstuurt.

Zoals alijd is de 'proof of the pudding in the eating'. Oftewel zet je computer uit en laat iemand anders je scannen.
kijk naar zo'n antwoord zocht ik. Het enige is dat de computer die op het externe ip adres draait ook services draait die ik dag en nacht aan wil houden.
[...]

Als je zelf een ICMP 'Host Unreachable' stuurt dan staat in de IP header als source address je eigen ip ipv dat van je ISP.
Dus dan geef je zelf aan dat je er wel bent maar net doet als of je er niet bent.
Niet erg stealthy dus. Beters is gewoon je mond te houden als de grote boze wolf komt te vragen of er nog lekker lammetjes zijn.
Heb nog wat zitten lezen (en denken) en kwam zelf ook al een beetje tot deze conclusie.
Alleen zit er nog wel verschil in of je wel of niet services heb draaien denk ik.
Als je geen services heb draaien dan is het in ieder geval beter helemaal nix te zeggen, dan blijf je echt stealth maar aangezien mijn computer toch al niet meer stealth is eengezien er een WWW-service draait en nog meer.
Het voordeel van de huidige situatie is dat de UDP-scan langer duurt en dat ze niet het verschil tussen een open poort (die ik op 53 na niet heb) en een false-positive zien.
[...]

DROP stuurt geen 'Destination unreachable' ICMP op daarvoor moet je REJECT gebruiken (waarbij je ook de type fout kan opgeven met de --reject-with optie).
De firewall stuurt ook niet de 'Destination unreachable' ICMP maar dit doet het systeem, als ik namelijk een scan doe vanaf een trusted host (een ip-adres dat de firewall mag passeren) krijg ik die pakketjes wel.

Mistakes are proof that you are trying...

donderdag 20 maart 2003 19:41

Acties:

Verwijderd

Dat nmap teruggeeft dat de UDP porten allemaal open staat klopt, dit gebeurd altijd als je je udp porten helemaal stealth blockt. Nmap ziet ze dan allemaal als open, omdat ze zogenaamd al gebruikt zijn waardoor niemand meer via een udp port verbinding kan maken op jou computer, omdat dit alleen kan als de udp port gesloten is en dus beschikbaar. Volgens mij heeft dit verder niets met ICMP te maken.

donderdag 20 maart 2003 23:20

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 02-05 18:38

deadinspace

The what goes where now?

Verwijderd schreef op 20 March 2003 @ 19:41:
Nmap ziet ze dan allemaal als open, omdat ze zogenaamd al gebruikt zijn waardoor niemand meer via een udp port verbinding kan maken op jou computer, omdat dit alleen kan als de udp port gesloten is en dus beschikbaar.
Nee, zo werkt het niet helemaal.

Je poorten kunnen in drie statussen zijn: open, closed en "stealth" (bij gebrek aan een betere benaming). Voor TCP stuurt de portscanner een SYN packet naar de te scannen host. Afhankelijk van de reactie wordt dan de status bepaalt:

* SYN|ACK packet -> poort is open en accepteert connecties
* RST packet of ICMP port unreachable -> poort is closed
* Geen reactie -> poort is stealth

UDP is echter connectionless, en kent dus geen zaken als SYN, ACK, SYN|ACK, RST packets e.d. Oudere versies van nmap (ik weet niet wat hij tegenwoordig doet) gebruikten voor UDP scanning iig een UDP packet van 0 bytes. Als hierop gereageerd werd met een ICMP port unreachable, dan is de poort gesloten. Maar vaak wordt aangenomen dat als er geen reactie komt (de meeste programma's zullen een 0 bytes UDP packet namelijk negeren) de poort open is. En aangezien een stealth poort niks terug zal sturen lijkt die ook open.
Volgens mij heeft dit verder niets met ICMP te maken.
Deels wel, namelijk voor de ICMP port unreachable ;)
Pagina: 1
Reageer