Stealth Ports, mesmo durante a comunicação?

0

Eu estava usando um site / programa de rastreamento de porta chamado ShieldsUp! para verificar minhas portas. Ele relatou que todos os meus portos eram "furtivos", e em suas palavras

Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.

Em seguida, executei a mesma verificação de porta quando soube que tinha um programa que estava usando determinadas portas e o teste voltou a ser furtivo.

Isso é esperado? Fiquei com a impressão de que o uso das portas os tornava visíveis. Eu esperava que muitos dos meus portos fossem simplesmente fechados com base em sua Definição de status da porta da Internet porque eu estava executando esses testes em uma nova instalação do Ubuntu sem nenhum firewall de terceiros instalado.

Mas mesmo que o Ubuntu tenha um firewall embutido, eu tive que dizer especificamente para abrir as portas que eu queria usar. O Ubuntu fecharia automaticamente essas portas quando não recebesse nenhum tráfego vindo ou vindo?

Informações adicionais (não tinha certeza de que isso importaria a princípio)

Deixei de fora parte da explicação porque não tinha certeza se seria relevante, mas agora acho que pode ser. Eu o configurei para que dois computadores da minha rede se comuniquem usando um simples cliente de comunicação. E enquanto os dois computadores estavam se comunicando, eu corri a sonda de porta em um dos computadores. Eu só mencionei isso porque parece que as portas seriam abertas porque cada computador estaria esperando tráfego em uma determinada porta.

    
por Ryan 22.10.2010 / 18:38

3 respostas

3

Há uma diferença entre uma porta ao seu lado e uma porta no servidor e entre uma porta de escuta e uma conexão.

ShieldsUp! procura somente portas TCP que tenham um serviço escutando no seu computador para conexões de outro lugar. Por exemplo, se você tivesse um servidor da Web em execução, teria TCP / 80 / incoming "aberto".

(Se A tentar estabelecer uma conexão com a porta B, e não houver nenhum serviço escutando naquela porta, A geralmente recebe um pacote de "reset". AFAIK, o modo Stealth significa que o A não até receber uma resposta negativa - como se o host não existisse.)

No entanto, "usando" a mesma porta - navegando na web usando HTTP, por exemplo - não abre essa porta ao seu lado. Uma conexão HTTP que você faz é para a porta 80 no servidor da web , mas a partir de uma porta escolhida aleatoriamente ao seu lado. E mesmo essa porta local não pode ser descrita como "aberta", pois não há nada escutando conexões nela; o sistema operacional aceita somente pacotes pertencentes a uma conexão já ativa específica .

Cada conexão TCP é identificada por quatro itens: endereço local: porta e endereço remoto: porta pares. Dois pacotes devem ter endereços idênticos: os pares de portas devem ser considerados como pertencentes à mesma conexão (embora as respostas obviamente tenham reversão local e remota).

Por exemplo, se você for 1.0.0.1 e abrir uma conexão TCP de 1.0.0.1:13579 a 2.2.2.2:80 . Quando um pacote é recebido, ele será considerado como pertencente à mesma conexão somente se vier de 2.2.2.2:80 a 1.0.0.1:13579 .

Isso significa que você pode:

  • abre várias conexões para diferentes servidores;
  • para portas diferentes do mesmo servidor;
  • e até mesmo para a mesma porta do mesmo servidor

desde que pelo menos um número (geralmente a porta local escolhida aleatoriamente) seja diferente.

    
por 22.10.2010 / 21:58
2

As portas só são abertas quando um processo está escutando, esperando que dispositivos remotos se conectem a ele. Como tal, os resultados que você recebeu são esperados.

    
por 22.10.2010 / 19:58
2

Pelo que entendi, o seu firewall fica entre qualquer aplicativo no seu PC (que tenha permissão das regras de firewall automatizadas ou de você) e da Internet. Se o programa estiver escutando dados em uma porta, o firewall também está escutando. Qualquer tentativa inesperada de comunicação da internet será detectada pelo firewall e ignorada / descartada, o aplicativo nem mesmo a verá.

    
por 22.10.2010 / 20:17