Como dizer stateful vs firewall stateless com nmap ACK scan

3

Estou tendo problemas para descobrir isso. Supostamente, o nmap pode distinguir firewalls com informações de estado de firewalls sem estado usando a varredura -sA ou ACK, mas não sei como discernir esse fato da saída nmap de uma varredura ACK.

Eu entendo que o nmap envia pacotes sinalizados ACK para o alvo e o alvo responderá ou não responderá baseado em certos critérios. 1) O alvo responderá com o RST se a porta estiver aberta ou fechada e não filtrada. 2) O alvo NÃO responderá de forma alguma se o filtro estiver DROPPING 3) Target irá enviar mensagem de erro ICMP se o filtro estiver REJEIANDO o tráfego

Sendo verdade, o nmap reportará qualquer porta que responda com o RST como não filtrada e todas as outras portas como filtradas . Isto é algo como isto ... (usando firewall IPTABLES com regra (s) sem estado)

$ sudo nmap -sA -T4 192.168.219.135

Iniciando o Nmap 7.12 ( link ) em 2016-06-28 16:35 EDT
Relatório de varredura do Nmap para metasploitable (192.168.219.135)
Host está ativo (0,00027s de latência). Não mostrado: 994 portas filtradas
SERVIÇO DO ESTADO DO PORTO
22 / tcp ssh não filtrado
25 / tcp smtp não filtrado
53 / tcp domínio não filtrado
Gopher não filtrado 70 / tcp
80 / tcp http não filtrado
113 / tcp ident não filtrado
Endereço MAC: 00: 0C: 29: B7: F7: 70 (VMware)

Nmap concluído: 1 endereço IP (1 host up) verificado em 4,40 segundos

Baseado fora daquela saída, como um discerniria se isto era stateful ou stateless?

Eu tenho lido tudo o que posso sobre o assunto, incluindo o livro nmap, e nenhum dos exemplos faz sentido para mim. Esta é basicamente a mesma saída do exemplo 10.2 no livro nmap; na verdade, é quase idêntico! O problema é que o livro nmap afirma que esta é a saída do nmap que visava um host executando IPTABLES com regras STATEFUL!

Se eu puder obter a mesma saída de um firewall sem estado como posso a partir de um firewall com monitoração de estado, como posso saber, com base no ACK do nmap, qual firewall estou encontrando?

Estou super frustrado e agradeço qualquer ajuda enviada do meu jeito.

    
por dlowrie290 28.06.2016 / 22:48

2 respostas

3

Vamos considerar quais seriam as diferenças de comportamento entre um firewall com e sem estado. O firewall stateless será bloqueado com base no número da porta, mas não pode bloquear apenas os pacotes ACK recebidos porque eles podem ser enviados em resposta a uma conexão OUTGOING. Portanto, do ponto de vista do -sA scan, as portas apareceriam como "não filtradas" porque o firewall está filtrando apenas pacotes SYN.

Um firewall com monitoração de estado, por outro lado, pode determinar se um pacote ACK de entrada faz parte de uma conexão de saída estabelecida. Ele bloqueia o pacote apenas se ele não for solicitado (como no caso de -sA ). Então o Nmap rotulará a porta como "filtrada".

Portanto, a determinação final é a seguinte: se a varredura do ACK mostrar algumas portas como "filtradas", é provável que seja um firewall com estado. Se tudo for mostrado como "não filtrado", mas uma varredura de SYN regular mostra alguns como "filtrados", então é um firewall sem estado.

    
por 29.06.2016 / 16:05
0

Concordo com a resposta dada por bonasaiviking . Para improvisar na mesma, há uma varredura do Windows ( -sW ) que basicamente explora um detalhe de implementação de certos sistemas (portanto, o nmap adverte, nem sempre é confiável). O RST devolveu o pacote, com -sA ou -sW , está marcado para o campo TCP Window e a porta aberta ou fechada está concluída.

Referência: link

    
por 05.09.2017 / 11:04

Tags