nmap hol lát, hol nem

Hálózatok egyéb

sziasztok!

van egy gép, ami valamiért nem elérhető (ssh, smtp, web), erre gondoltam megnézem nmap mit mondd rá. itt jött a meglepetés (azon túl, hogy az amúgy bármikor elérhető gép most mit szivat). nevezetesen az, hogy a gépről az nmap parancs a szolgáltatásokat hol látta, hol nem. hol ezt, hol azt. mintha randomban nyílna és záródna minden port rajta... mivel pár napig még nem tudok a közelébe férkőzni, ezért csak találgathatok és anyázhatok, hogy mi van, de nincs valakinek ötlete, hogy mitől lehet egyáltalán ilyen? ez valami nmap "bug"?

  • 1138 megtekintés

( Husky | 2009. 02. 22., v – 14:54 )

Ahol 99%-ban end userek neteznek, ott a tűzfali conntrack táblák kulturáltan tartása érdekében mostanában elég sokszor belövök két connlimit szabályt: a 80-as porton max 100, minden máson pedig max 50 egyidejű kapcsolat. Ez bőven elég a normális netezéshez, de aki indít torrent+emule klienst az találkozhat azzal, hogy warezolás közben nem megy az MSN, a WoW, vagy más hasonló.

Ha nincs jól belőve, ennek lehet olyan mellékhatása, hogy random portok elérhetetlenek amíg a P2P cucc ül az összes nyitható kapcsolaton. Nincs útközben esetleg hasonló tűzfal?

nem tudok ilyen tűzfalról, de most más helyszínről is tesztelem (ha már nem férek oda a géphez egy ideig...). sőt, közben leesett, hogy egy géphez meg hozzá férek úgy, hogy egy hálózaton van, sőt egy switchen és arról se érem el... a rejtély továbbra is marad, ha odaférek a géphez... remélem lesz a logokban olyan ami segíthet megfejteni a problémát...

--
xterm

( kbela | 2009. 02. 22., v – 15:52 )

Esetleg a route tablaban ket default gateway?

sajnos a kérdés merőben teoretikussá vált azóta, hogy azonos hálóról, egy switchen lógva is ezt produkálja (nem elérhető).

érdekesség a dologban: a rajta levő szolgáltatások (pl. ftp, ssh, ilyesmi) mind olyat tesznek, mintha elérhetőek lennének, csak nem felelnének. nem tudom hogy fogalmazzam... szóval pl. ftp-zek rá, erre azt mondja, hogy connected, csak épp nem forgalmaz semmit onnantól kezdve. kivétel nélkül minden kliens ezt csinálja. miért nem mondják, hogy nem elérhető, vagy szétkapcsolt, stb...?

--
xterm

( Xterm v | 2009. 02. 26., cs – 09:24 )

megnéztem a gépet élőben is. megállt a drága. a konzol se reagált semmire se. valami félhulla állapotban leledzett, nem tudom miért. túrkálom a logokat, egyelőre nem találtam semmit. gondoltam elindítom a rootkit kergetőket is egy másik gépbe átpakoltan.

no itt már találtam érdekeset:

Checking if SSH root access is allowed [ Warning ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

[08:39:08] Performing filesystem checks
[08:39:08] Info: Starting test name 'filesystem'
[08:39:08] Info: SCAN_MODE_DEV set to 'THOROUGH'
[08:39:37] Checking /dev for suspicious file types [ Warning ]
[08:39:37] Warning: Suspicious files found in /dev:
[08:39:37] /dev/shm/pulse-shm-1544878920: data
[08:39:37] Checking for hidden files and directories [ Warning ]
[08:39:37] Warning: Hidden directory found: /dev/.static
[08:39:37] Warning: Hidden directory found: /dev/.udev
[08:39:37] Warning: Hidden directory found: /dev/.initramfs
[08:40:31]

a root access meglepő fordulat, mert ugye nincs root userem (mármint nem lehet belépni vele sehonnan se defaultból, csak sudo-zni lehet rá). kikapcsoltam ezt az opciót.

az utána következő rész viszont számomra ismeretlen. a /dev/ könyvtárakat nem igen ismerem, ezért csak pislogtam kicsit. az shm-ben levő filet a pulse audio fogja. a rejtett mappákat nem ismerem viszont. van valakinek ötlete mi lehet?

--
xterm