Re: UDP Scans

To: Debian German ML <debian-user-german@lists.debian.org>
Subject: Re: UDP Scans
From: Thorsten Haude <debian@thorstenhau.de>
Date: Sat, 6 Nov 2004 00:11:03 +0100
Message-id: <[🔎] 20041105231103.GM21948@eumel.yoo.local>
Mail-followup-to: Debian German ML <debian-user-german@lists.debian.org>
In-reply-to: <[🔎] 20041102162054.GA3098@kaufbach.delug.de>
References: <[🔎] 20041101231332.GA21948@eumel.yoo.local> <[🔎] 20041102061438.GB32144@Pinguin.wug-glas.de> <[🔎] 20041102065738.GD21948@eumel.yoo.local> <[🔎] 20041102162054.GA3098@kaufbach.delug.de>

Moin,

* Andreas Kretschmer wrote (2004-11-02 17:20):
>am  Tue, dem 02.11.2004, um  7:57:38 +0100 mailte Thorsten Haude folgendes:
>> Hm, ich bin mir nicht sicher, welche Informationen fehlen.
>> - Der Router ist konfiguriert, alle eingehenden Pakete abzulehnen.
>
>Sicher?

Ja, sicher. Ob die Konfiguration, die ich sehe, auch benutzt wird,
weiß ich natürlich nicht.


>> - Hinter dem Router kommen Pakete an.
>> - Scandet meldet diese als "UDP port flooding":
>> - - - Schnipp - - -
>> Possible UDP port flooding from 220.119.30.169 to 10.10.10.110,
>
>Die SRC ist:
>inetnum:      220.116.0.0 - 220.127.255.255
>netname:      KORNET
>descr:        KOREA TELECOM

Ok, ein üblicher Verdächtiger. Wie kommt der aber durch meine
Firewall. Ist das ein Nebeneffekt eines der Protokolle, die ich
benutze? Gnutella? Donkey?


>> I've counted 101 connections.
>> 
>> First connection was made to 21933 port at Tue Nov  2 07:00:18 2004
>> Last connection was made to 21933 port at Tue Nov  2 07:00:24 2004
>
>Google brachte nicht viel, ich weiß nicht. Ich vermute, der Router
>routet besser, als Du denkst.
>Frag/bitte doch mal $KUMPEL, er möge Dich auf diesem Port scannen, und
>schau, was passiert.

Nichts. Er hat folgendes ausgeführt:
nmap -sA -P0 -p 1-1024 $ip >nmap-sA.result 2>nmap-sA.error
nmap -sS -P0 -p 1-1024 $ip >nmap-sS.result 2>nmap-sS.error
nmap -sU -P0 -p 1-1024 $ip >nmap-sU.result 2>nmap-sU.error

Ergebnis ist jedesmal (fast) das gleiche:
- - - Schnipp - - -
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-11-05 22:07 CET
All 1024 scanned ports on $host.dip.t-dialin.net ($ip) are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 207.526 seconds
- - - Schnapp - - -

Bei -sU steht statt 'filtered' 'open|filtered', sonst sind nur die
Zeiten unterschiedlich.


Gibt es nmap-Optionen, die aussagekräftigere Ergebnisse liefern?


Thorsten
-- 
The history of Liberty is a history of the limitation of government power.
    - Woodrow Wilson

Attachment: pgpbQ3vizzLYM.pgp
Description: PGP signature

Reply to:

References:
- UDP Scans
  - From: Thorsten Haude <debian@thorstenhau.de>
- Re: UDP Scans
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>
- Re: UDP Scans
  - From: Thorsten Haude <debian@thorstenhau.de>
- Re: UDP Scans
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>

Prev by Date: Re: Firefox erkennt Helix Plugin nicht;-(
Next by Date: pppd, defaultroute & 10.64.64.64
Previous by thread: Re: UDP Scans
Next by thread: Mysql upgraden
Index(es):
- Date
- Thread