SlideShare ist ein Scribd-Unternehmen logo

Portscanning 2012

Digicomp Academy AG
Digicomp Academy AG
Technologie
1 von 33
Downloaden Sie, um offline zu lesen
Hacking Day 2012 Portscanning im Jahre 2012 Martin Rutishauser
Agenda ● Vorstellung ● Portscanning im Jahre 2012 ● Einführung TCP/IP ● Tipps und Tricks ● Internet Scanning ● Tools ● Referenzen 14. Juni 2012 2
Vorstellung ● Martin Rutishauser ● Senior Information Security Consultant ● Referent CAS/MAS IS ● Private Homepage: www.indianz.ch ● Member Defcon-Switzerland 14. Juni 2012 3
Defcon-Switzerland ● Verein für Informations-Austausch im Bereich Informationssicherheit ● Existiert seit 2008, etwa 50 Members ● Monatliche Treffen (MS Patch-Tuesdays), abwechselnd in Bern und Zürich ● https://www.defcon-switzerland.org/ ● Organisator “#hashdays” Security Conference ● https://www.hashdays.ch/ 14. Juni 2012 4
Warnhinweis ● Portscans in der CH noch nicht strafbar ● Kann aber als Angriffsvorbereitung interpretiert werden ● Empfehlungen: ● Nur eigene Systeme scannen ● (Schriftlich!) Erlaubnis für Scan einholen ● Virtuelle Systeme verwenden ● Öffentliche Systeme verwenden (scanme.insecure.org) 14. Juni 2012 5
Portscanning im Jahre 2012 ● Früher kaum Sicherheit 14. Juni 2012 6
Portscanning im Jahre 2012 ● Dann Firewalls als Perimetersicherheit 14. Juni 2012 7
Portscanning im Jahre 2012 ●Heute Firewalls, Gateways, WAF's, Load- Balancers, IDS/IPS, Reverse Proxies, Stateful Packet Filters, … 14. Juni 2012 8
Einführung TCP/IP ● TCP/IP-Protokoll-Suite: ● TCP = Transmission Control Protocol ● UDP = User Datagram Protocol ● IP = Internet Protocol ● ICMP = Internet Control Message Protocol ● TCP und UDP bieten je 65'536 Ports an ● Netzwerkdienste werden angeboten ● 80 = HTTP ● 443 = HTTPS ● 22 = OpenSSH 14. Juni 2012 9
Einführung TCP/IP ● TCP ● Src-Port = Source-Port ● Dst-Port = Destination Port ● TCP Sequenznummer = Reihenfolge Pakete ● Window-Size = Grösse Sliding Window ● Data-Offset = Länge TCP-Header, Start Daten ● UDP ● Src-Port = Source-Port ● Dst-Port = Destination Port ● Length = Länge in Oktetten (Minimum 8) 14. Juni 2012 10
Einführung TCP/IP ● IP ● Version = v4 (v6) ● Src-Address = Source IP ● Dst-Address = Destination IP ● IP-ID = Reassemblieren von IP Paketen ● TTL = Time-to-Live ● ICMP ● Fehlermeldungen ● Types und Codes ● Ping, Traceroute, ... 14. Juni 2012 11
Einführung TCP/IP ● Flags: ● Syn = Synchronize ● Ack = Acknowledge ● Fin = Finish ● Rst = Reset ● Psh = Push ● Urg = Urgent ● Alle = Xmas ● Keine = Null 14. Juni 2012 12
Einführung TCP/IP ● TCP verbindungsorientiert ● 3-way Handshake ● Sitzung (Session) wird aufgebaut ● Dann Datentransfer ● UDP verbindungslos ● Fire-and-forget ● Protokoll/Service reagiert oder eben nicht ● UDP braucht ICMP Fehlermeldungen 14. Juni 2012 13
Einführung TCP/IP 14. Juni 2012 14
Einführung TCP/IP 14. Juni 2012 15
Portscanning im Jahre 2012 ● Probleme mit Portscanning ● “Komische” Resultate ● Lange dauernde Scans ● Jedes mal andere Resultate ● False Negatives / False Positives ● Filter lokal/remote ● ... 14. Juni 2012 16
Portscanning im Jahre 2012 ● Wichtig bei Port- und Security-Scans: ● Nicht durch ein NAT (spoofing SRC-Ports) ● Nicht durch einen aktiven Stateful Packetfilter ● Nicht durch eine aktive Firewall (lokal egress) ● Nicht durch einen Proxy (wenn möglich) ● Nicht durch aktivierte IPS-Module (Evasion ;) ● ... 14. Juni 2012 17
Portscanning im Jahre 2012 ● Nmap Scans ● -sS = TCP-SYN-Scan (Stealth Scan) ● -sT = TCP-Connect-Scan (Handshake, Vanilla Scan) ● -sU = UDP-Scan (UDP Scan, Linux Timing) ● -sN = TCP-NULL-Scan (RST, Filter Evasion, UNIX) ● -sF = FIN-Scan (RST, Filter Evasion, BSD) ● -sX = Xmas-Scans (RST, Filter Evasion, UNIX) ● -sA = TCP-ACK-Scan (Filter Detection) ● -sW = TCP-Window-Scan (Filter Detection) ● -sM = TCP-Maimon-Scan (RST, Filter Evasion) ● -sV = Versioning-Scan (Fingerprinting) ● -O/-A = OS-Detection/OS, Services, Scripts, Traceroute ● --scanflags = Benutzerdefinierter TCP-Scan 14. Juni 2012 18
Portscanning im Jahre 2012 ● More Nmap Scans ● -sI <zombie host>[:<probeport>] = Idle-Scan ● -sO = IP-Protokoll-Scan ● -sR = RPC-Scan ● -b <FTP relay host> = FTP-Bounce-Scan ● -6 = IPv6-Scan ● -Sc/--script=default/safe/all = Scripting Engine (LUA) ● --top-ports ● -sY/-sZ = SCTP INIT/COOKIE-ECHO scans ● -f = Fragmented Scan ● -D = Decoy-Scan ● -S/-g = Spoof Source IP/Port ● -i = reverse ident scanning (process owner) 14. Juni 2012 19
Portscanning im Jahre 2012 ● Nmap Idle Scan Open (Quelle: Book ) 14. Juni 2012 20
Portscanning im Jahre 2012 ● Nmap Idle Scan Closed (Quelle: Book ) 14. Juni 2012 21
Portscanning im Jahre 2012 ● Nmap Timing und Performance ● --min-hostgroup/--max-hostgroup <numhosts> ● Adjust parallel scan group sizes ● --min-parallelism/--max-parallelism <numprobes> ● Adjust probe parallelization ● --min-rtt-timeout/--max-rtt-timeout <time> ● Adjust probe timeouts ● --max-retries <numtries> ● Specify maximum number of probe retransmissions ● --host-timeout <time> ● Give up on slow targets 14. Juni 2012 22
Portscanning im Jahre 2012 ● Nmap Timing und Performance ● --scan-delay/--max-scan-delay <time> ● Adjust delay between probes ● --min-rate/--max-rate <number> ● Directly control the scanning rate ● --defeat-rst-ratelimit ● Ignore those rate limits ● --nsock-engine epoll|select ● Enforce use of a given nsock IO multiplexing engine ● -T paranoid (0), sneaky (1), polite (2), normal (3), aggressive (4), and insane (5) ● Set a timing template 14. Juni 2012 23
Portscanning im Jahre 2012 ● Nmap Scripting Engine ● Kategorien: auth, broadcast, brute, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, vuln ● Etwa 350 Scripts derzeit ● Prerule scripts (vor dem Scan), Host scripts (bei Host- Detektion), Service scripts (bei Service Detektion) und Postrule scripts (nach dem Scan) ● Ndiff ● Vergleichen von Nmap-Resultaten 14. Juni 2012 24
Portscanning im Jahre 2012 ● Nping ● Netzwerk-Paket-Generator ● Protokolle: TCP, UDP, ICMP, ARP, Ethernet, IP ● Funktionen: Ping, DoS, Stresstest, ARP Poisoning, Firewall-Rules ausmessen, Paket-Korruption entdecken, Senden von Exploit-Payload ● Echo-Mode: Paket-Informationen (Nping Echo Servermode + Clientmode) ● Ncat ● Netcat-Ersatz mit mehr Funktionalität ● SSL-Support, Proxy-Support, Chaining, UDP, TCP, STCP 14. Juni 2012 25
Tipps und Tricks ● Full Port Range: 0-65535 TCP und UDP ● ICMP Filter erschweren UDP Scans ● UDP nicht vergessen, auch wenn mühsam ● UDP applikatorisch prüfen (App Payloads) ● High-Range Ports TCP/UDP nicht vergessen ● Nur ein Subset von Ports scannen ● Portscans oder Portsweeps? ● Resultate immer verifizieren ● Low-Level-Informationen auswerten ● Portscanning → Fingerprinting → Attacking 14. Juni 2012 26
Internet Scanning I/II ● Das Internet ist voll von RFC-incompliant Hosts (Microsoft, Cisco) ● Es gibt Hosts im Internet, die immer ACK's senden ● Auf ein Syn-Paket an einen Host kann die Antwort von einem anderen kommen (asynchrones NAT) ● Es gibt ganze Class-A Netzwerke im Internet, die leer sind (black holes) 14. Juni 2012 27
Internet Scanning II/II ● Nie sequentiell scannen, immer Spread Spectrum (Blockweise zB. 256 Hosts, ARP- Flooding!) ● Das erste Syn-Paket geht oft verloren (ARP auf Router, kann droppen) ● Koordiniertes Scannen (ARP-Flooding! wenn zuviele Tester die gleichen Hosts scannen) ● Nie länger als 3 Sekunden pro Host auf Antwort warten (längere Antwortzeit = nicht interessant) ● Rücksicht auf Administratoren nehmen ;) 14. Juni 2012 28
Tools I/III ● Insecure.org Nmap ● Windows/Linux/Mac GUI/Commandline 14. Juni 2012 29
Tools II/III ●(McAfee/Foundstone) Superscan ● Windows-GUI / Wine unter Linux 14. Juni 2012 30
Mehr Tools (Open Source) III/III ● Unicornscanner (Linux) ● Fast Network Scanner ● Metasploit Module (Linux/Windows) ● Scanners und Discovery-Tools ● Hping (Linux/Windows) ● Low-Level TCP/IP-Manipulation ● Angry-IP (Windows/Linux/Mac) ● Portscanner ● Advanced IP Scanner (Windows) ● Network Mapping 14. Juni 2012 31
Referenzen ● Nmap ● http://nmap.org/ ● http://nmap.org/book/toc.html ● http://nmap.org/nping/ ● http://nmap.org/book/nse.html ● http://nmap.org/nsedoc/ ● Superscan ● http://www.mcafee.com/us/downloads/free-tools/superscan.aspx 14. Juni 2012 32
Fragen / Diskussion ● Wem darf ich noch eine Frage beantworten? 14. Juni 2012 33

Empfohlen

SNMP Applied
SNMP AppliedSNMP Applied
SNMP Applied
Gerrit Beine
 
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang Barth
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang BarthOSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang Barth
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang Barth
NETWAYS
 
Grundlagen nmap
Grundlagen nmapGrundlagen nmap
Grundlagen nmap
inovex GmbH
 
Vagrant - Einführung & Verwendung
Vagrant - Einführung & VerwendungVagrant - Einführung & Verwendung
Vagrant - Einführung & Verwendung
Tilo Baller
 
Lösungsorientierte Fehlerbehandlung
Lösungsorientierte FehlerbehandlungLösungsorientierte Fehlerbehandlung
Lösungsorientierte Fehlerbehandlung
roskakori
 
Palomaa
PalomaaPalomaa
Palomaa
alumno
 
C U L T U R A
C U L T U R AC U L T U R A
C U L T U R A
Brenda
 
Imágenes platos día de Andalucia
Imágenes platos día de AndaluciaImágenes platos día de Andalucia
Imágenes platos día de Andalucia
Rocío Guerrero Rodríguez
 

Empfohlen

SNMP Applied
SNMP AppliedSNMP Applied
SNMP Applied
Gerrit Beine
 
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang Barth
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang BarthOSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang Barth
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang Barth
NETWAYS
 
Grundlagen nmap
Grundlagen nmapGrundlagen nmap
Grundlagen nmap
inovex GmbH
 
Vagrant - Einführung & Verwendung
Vagrant - Einführung & VerwendungVagrant - Einführung & Verwendung
Vagrant - Einführung & Verwendung
Tilo Baller
 
Lösungsorientierte Fehlerbehandlung
Lösungsorientierte FehlerbehandlungLösungsorientierte Fehlerbehandlung
Lösungsorientierte Fehlerbehandlung
roskakori
 
Palomaa
PalomaaPalomaa
Palomaa
alumno
 
C U L T U R A
C U L T U R AC U L T U R A
C U L T U R A
Brenda
 
Imágenes platos día de Andalucia
Imágenes platos día de AndaluciaImágenes platos día de Andalucia
Imágenes platos día de Andalucia
Rocío Guerrero Rodríguez
 
03p o perfil do empreendedor
03p o perfil do empreendedor03p o perfil do empreendedor
03p o perfil do empreendedor
Valentina Silva
 
DTplan demodagen 2013 foto _ klein
DTplan demodagen 2013 foto _ kleinDTplan demodagen 2013 foto _ klein
DTplan demodagen 2013 foto _ klein
dtplan
 
Prova suplementar 2º semestre - 1º ano
Prova suplementar 2º semestre - 1º anoProva suplementar 2º semestre - 1º ano
Prova suplementar 2º semestre - 1º ano
Adriano Capilupe
 
Eu vou passar pela cruz pg
Eu vou passar pela cruz pgEu vou passar pela cruz pg
Eu vou passar pela cruz pg
PHABLO B
 
Diari del 28 de novembre de 2013
Diari del 28 de novembre de 2013Diari del 28 de novembre de 2013
Diari del 28 de novembre de 2013
diarimes
 
Esposa del senador Mendoza lo denuncia por violencia
Esposa del senador Mendoza lo denuncia por violenciaEsposa del senador Mendoza lo denuncia por violencia
Esposa del senador Mendoza lo denuncia por violencia
Erbol Digital
 
Clipping de imprensa 1a parte
Clipping de imprensa 1a parteClipping de imprensa 1a parte
Clipping de imprensa 1a parte
Comunicarte
 
Panache map
Panache mapPanache map
Panache map
Kasish Sirohi
 
Q2 2013 presentation final
Q2 2013 presentation finalQ2 2013 presentation final
Q2 2013 presentation final
primero_mining
 
Atencion
AtencionAtencion
Atencion
michelv5
 
Marketing 2.0
Marketing 2.0Marketing 2.0
Marketing 2.0
Omar Vite
 
Solo Desea Tren De La Vida
Solo Desea Tren De La VidaSolo Desea Tren De La Vida
Solo Desea Tren De La Vida
solodesea
 
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERVGUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
Juan Carlos Rivera
 
Outsourcing Asignacion 2, Completa
Outsourcing Asignacion 2, CompletaOutsourcing Asignacion 2, Completa
Outsourcing Asignacion 2, Completa
RMVTITO
 
Acta 57 asamblea de marzo de 2012. satif
Acta 57 asamblea de marzo de 2012. satifActa 57 asamblea de marzo de 2012. satif
Acta 57 asamblea de marzo de 2012. satif
sindicatosatif
 
DERECHOS DE AUTOR
DERECHOS DE AUTORDERECHOS DE AUTOR
DERECHOS DE AUTOR
Maria Jose Sanchez
 
Salida De ObservacióN A Mindo..
Salida De ObservacióN A Mindo..Salida De ObservacióN A Mindo..
Salida De ObservacióN A Mindo..
guestf1a44c9d
 
El blog
El blogEl blog
El blog
Omar Vite
 
Pres_Wed 2.0
Pres_Wed 2.0Pres_Wed 2.0
Pres_Wed 2.0
kellanes
 
Exposicion declaracion islas canarias 3 prl
Exposicion declaracion islas canarias 3 prlExposicion declaracion islas canarias 3 prl
Exposicion declaracion islas canarias 3 prl
Foro Internacional Cultura Prevención el Lugar de Trabajo
 
Raspberry Pi
Raspberry PiRaspberry Pi
Raspberry Pi
Droidcon Berlin
 
DOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance TuningDOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance Tuning
FromDual GmbH
 

Weitere ähnliche Inhalte

Andere mochten auch

03p o perfil do empreendedor
03p o perfil do empreendedor03p o perfil do empreendedor
03p o perfil do empreendedor
Valentina Silva
 
DTplan demodagen 2013 foto _ klein
DTplan demodagen 2013 foto _ kleinDTplan demodagen 2013 foto _ klein
DTplan demodagen 2013 foto _ klein
dtplan
 
Prova suplementar 2º semestre - 1º ano
Prova suplementar 2º semestre - 1º anoProva suplementar 2º semestre - 1º ano
Prova suplementar 2º semestre - 1º ano
Adriano Capilupe
 
Eu vou passar pela cruz pg
Eu vou passar pela cruz pgEu vou passar pela cruz pg
Eu vou passar pela cruz pg
PHABLO B
 
Clipping de imprensa 1a parte
Clipping de imprensa 1a parteClipping de imprensa 1a parte
Clipping de imprensa 1a parte
Comunicarte
 
Q2 2013 presentation final
Q2 2013 presentation finalQ2 2013 presentation final
Q2 2013 presentation final
primero_mining
 
Marketing 2.0
Marketing 2.0Marketing 2.0
Marketing 2.0
Omar Vite
 
Solo Desea Tren De La Vida
Solo Desea Tren De La VidaSolo Desea Tren De La Vida
Solo Desea Tren De La Vida
solodesea
 
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERVGUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
Juan Carlos Rivera
 
Outsourcing Asignacion 2, Completa
Outsourcing Asignacion 2, CompletaOutsourcing Asignacion 2, Completa
Outsourcing Asignacion 2, Completa
RMVTITO
 
Acta 57 asamblea de marzo de 2012. satif
Acta 57 asamblea de marzo de 2012. satifActa 57 asamblea de marzo de 2012. satif
Acta 57 asamblea de marzo de 2012. satif
sindicatosatif
 
Salida De ObservacióN A Mindo..
Salida De ObservacióN A Mindo..Salida De ObservacióN A Mindo..
Salida De ObservacióN A Mindo..
guestf1a44c9d
 

Andere mochten auch (20)

03p o perfil do empreendedor
03p o perfil do empreendedor03p o perfil do empreendedor
03p o perfil do empreendedor
 
DTplan demodagen 2013 foto _ klein
DTplan demodagen 2013 foto _ kleinDTplan demodagen 2013 foto _ klein
DTplan demodagen 2013 foto _ klein
 
Prova suplementar 2º semestre - 1º ano
Prova suplementar 2º semestre - 1º anoProva suplementar 2º semestre - 1º ano
Prova suplementar 2º semestre - 1º ano
 
Eu vou passar pela cruz pg
Eu vou passar pela cruz pgEu vou passar pela cruz pg
Eu vou passar pela cruz pg
 
Diari del 28 de novembre de 2013
Diari del 28 de novembre de 2013Diari del 28 de novembre de 2013
Diari del 28 de novembre de 2013
 
Esposa del senador Mendoza lo denuncia por violencia
Esposa del senador Mendoza lo denuncia por violenciaEsposa del senador Mendoza lo denuncia por violencia
Esposa del senador Mendoza lo denuncia por violencia
 
Clipping de imprensa 1a parte
Clipping de imprensa 1a parteClipping de imprensa 1a parte
Clipping de imprensa 1a parte
 
Panache map
Panache mapPanache map
Panache map
 
Q2 2013 presentation final
Q2 2013 presentation finalQ2 2013 presentation final
Q2 2013 presentation final
 
Atencion
AtencionAtencion
Atencion
 
Marketing 2.0
Marketing 2.0Marketing 2.0
Marketing 2.0
 
Solo Desea Tren De La Vida
Solo Desea Tren De La VidaSolo Desea Tren De La Vida
Solo Desea Tren De La Vida
 
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERVGUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
GUÍAS DE PRÁCTICA CLÍNICA DE LA SERV
 
Outsourcing Asignacion 2, Completa
Outsourcing Asignacion 2, CompletaOutsourcing Asignacion 2, Completa
Outsourcing Asignacion 2, Completa
 
Acta 57 asamblea de marzo de 2012. satif
Acta 57 asamblea de marzo de 2012. satifActa 57 asamblea de marzo de 2012. satif
Acta 57 asamblea de marzo de 2012. satif
 
DERECHOS DE AUTOR
DERECHOS DE AUTORDERECHOS DE AUTOR
DERECHOS DE AUTOR
 
Salida De ObservacióN A Mindo..
Salida De ObservacióN A Mindo..Salida De ObservacióN A Mindo..
Salida De ObservacióN A Mindo..
 
El blog
El blogEl blog
El blog
 
Pres_Wed 2.0
Pres_Wed 2.0Pres_Wed 2.0
Pres_Wed 2.0
 
Exposicion declaracion islas canarias 3 prl
Exposicion declaracion islas canarias 3 prlExposicion declaracion islas canarias 3 prl
Exposicion declaracion islas canarias 3 prl
 

Ähnlich wie Portscanning 2012

DOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance TuningDOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance Tuning
FromDual GmbH
 
FROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance TuningFROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance Tuning
FromDual GmbH
 
OSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas Gelf
OSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas GelfOSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas Gelf
OSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas Gelf
NETWAYS
 
20121008 io-performance
20121008 io-performance20121008 io-performance
20121008 io-performance
Werner Fischer
 
Monitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK GroupMonitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK Group
Digicomp Academy AG
 
OSMC 2010 | Merlin - status quo by Wolfgang Barth
OSMC 2010 | Merlin - status quo by Wolfgang BarthOSMC 2010 | Merlin - status quo by Wolfgang Barth
OSMC 2010 | Merlin - status quo by Wolfgang Barth
NETWAYS
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Gunther Pippèrr
 

Ähnlich wie Portscanning 2012 (20)

Raspberry Pi
Raspberry PiRaspberry Pi
Raspberry Pi
 
DOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance TuningDOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance Tuning
 
FROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance TuningFROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance Tuning
 
OSMC 2015: OMD 5 Jahre Best Practice mit Matthias Gallinger
OSMC 2015: OMD 5 Jahre Best Practice mit Matthias GallingerOSMC 2015: OMD 5 Jahre Best Practice mit Matthias Gallinger
OSMC 2015: OMD 5 Jahre Best Practice mit Matthias Gallinger
 
OSMC 2015 | OMD - 5 Jahre Best Practice by Matthias Gallinger
OSMC 2015 | OMD - 5 Jahre Best Practice by Matthias GallingerOSMC 2015 | OMD - 5 Jahre Best Practice by Matthias Gallinger
OSMC 2015 | OMD - 5 Jahre Best Practice by Matthias Gallinger
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
 
OSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas Gelf
OSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas GelfOSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas Gelf
OSMC 2011 | Monitoring at large - die Welt ist nicht genug by Thomas Gelf
 
20121008 io-performance
20121008 io-performance20121008 io-performance
20121008 io-performance
 
OSMC 2019 | Vom Bordstein zur Skyline by Robert Waffen
OSMC 2019 | Vom Bordstein zur Skyline by Robert WaffenOSMC 2019 | Vom Bordstein zur Skyline by Robert Waffen
OSMC 2019 | Vom Bordstein zur Skyline by Robert Waffen
 
Status of syslog as of 2005
Status of syslog as of 2005Status of syslog as of 2005
Status of syslog as of 2005
 
Rex - Infrastruktur als Code
Rex - Infrastruktur als CodeRex - Infrastruktur als Code
Rex - Infrastruktur als Code
 
MySQL für Oracle DBA's
MySQL für Oracle DBA'sMySQL für Oracle DBA's
MySQL für Oracle DBA's
 
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
 
Monitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK GroupMonitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK Group
 
OSMC 2010 | Merlin - status quo by Wolfgang Barth
OSMC 2010 | Merlin - status quo by Wolfgang BarthOSMC 2010 | Merlin - status quo by Wolfgang Barth
OSMC 2010 | Merlin - status quo by Wolfgang Barth
 
NoSQL with MySQL
NoSQL with MySQLNoSQL with MySQL
NoSQL with MySQL
 
openstack Übersicht @GPN15
openstack Übersicht @GPN15openstack Übersicht @GPN15
openstack Übersicht @GPN15
 
Froscon 2012 DWH
Froscon 2012 DWHFroscon 2012 DWH
Froscon 2012 DWH
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
 
SuperCollider SS2016 1
SuperCollider SS2016 1SuperCollider SS2016 1
SuperCollider SS2016 1
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Portscanning 2012

  • 1. Hacking Day 2012 Portscanning im Jahre 2012 Martin Rutishauser
  • 2. Agenda ● Vorstellung ● Portscanning im Jahre 2012 ● Einführung TCP/IP ● Tipps und Tricks ● Internet Scanning ● Tools ● Referenzen 14. Juni 2012 2
  • 3. Vorstellung ● Martin Rutishauser ● Senior Information Security Consultant ● Referent CAS/MAS IS ● Private Homepage: www.indianz.ch ● Member Defcon-Switzerland 14. Juni 2012 3
  • 4. Defcon-Switzerland ● Verein für Informations-Austausch im Bereich Informationssicherheit ● Existiert seit 2008, etwa 50 Members ● Monatliche Treffen (MS Patch-Tuesdays), abwechselnd in Bern und Zürich ● https://www.defcon-switzerland.org/ ● Organisator “#hashdays” Security Conference ● https://www.hashdays.ch/ 14. Juni 2012 4
  • 5. Warnhinweis ● Portscans in der CH noch nicht strafbar ● Kann aber als Angriffsvorbereitung interpretiert werden ● Empfehlungen: ● Nur eigene Systeme scannen ● (Schriftlich!) Erlaubnis für Scan einholen ● Virtuelle Systeme verwenden ● Öffentliche Systeme verwenden (scanme.insecure.org) 14. Juni 2012 5
  • 6. Portscanning im Jahre 2012 ● Früher kaum Sicherheit 14. Juni 2012 6
  • 7. Portscanning im Jahre 2012 ● Dann Firewalls als Perimetersicherheit 14. Juni 2012 7
  • 8. Portscanning im Jahre 2012 ●Heute Firewalls, Gateways, WAF's, Load- Balancers, IDS/IPS, Reverse Proxies, Stateful Packet Filters, … 14. Juni 2012 8
  • 9. Einführung TCP/IP ● TCP/IP-Protokoll-Suite: ● TCP = Transmission Control Protocol ● UDP = User Datagram Protocol ● IP = Internet Protocol ● ICMP = Internet Control Message Protocol ● TCP und UDP bieten je 65'536 Ports an ● Netzwerkdienste werden angeboten ● 80 = HTTP ● 443 = HTTPS ● 22 = OpenSSH 14. Juni 2012 9
  • 10. Einführung TCP/IP ● TCP ● Src-Port = Source-Port ● Dst-Port = Destination Port ● TCP Sequenznummer = Reihenfolge Pakete ● Window-Size = Grösse Sliding Window ● Data-Offset = Länge TCP-Header, Start Daten ● UDP ● Src-Port = Source-Port ● Dst-Port = Destination Port ● Length = Länge in Oktetten (Minimum 8) 14. Juni 2012 10
  • 11. Einführung TCP/IP ● IP ● Version = v4 (v6) ● Src-Address = Source IP ● Dst-Address = Destination IP ● IP-ID = Reassemblieren von IP Paketen ● TTL = Time-to-Live ● ICMP ● Fehlermeldungen ● Types und Codes ● Ping, Traceroute, ... 14. Juni 2012 11
  • 12. Einführung TCP/IP ● Flags: ● Syn = Synchronize ● Ack = Acknowledge ● Fin = Finish ● Rst = Reset ● Psh = Push ● Urg = Urgent ● Alle = Xmas ● Keine = Null 14. Juni 2012 12
  • 13. Einführung TCP/IP ● TCP verbindungsorientiert ● 3-way Handshake ● Sitzung (Session) wird aufgebaut ● Dann Datentransfer ● UDP verbindungslos ● Fire-and-forget ● Protokoll/Service reagiert oder eben nicht ● UDP braucht ICMP Fehlermeldungen 14. Juni 2012 13
  • 16. Portscanning im Jahre 2012 ● Probleme mit Portscanning ● “Komische” Resultate ● Lange dauernde Scans ● Jedes mal andere Resultate ● False Negatives / False Positives ● Filter lokal/remote ● ... 14. Juni 2012 16
  • 17. Portscanning im Jahre 2012 ● Wichtig bei Port- und Security-Scans: ● Nicht durch ein NAT (spoofing SRC-Ports) ● Nicht durch einen aktiven Stateful Packetfilter ● Nicht durch eine aktive Firewall (lokal egress) ● Nicht durch einen Proxy (wenn möglich) ● Nicht durch aktivierte IPS-Module (Evasion ;) ● ... 14. Juni 2012 17
  • 18. Portscanning im Jahre 2012 ● Nmap Scans ● -sS = TCP-SYN-Scan (Stealth Scan) ● -sT = TCP-Connect-Scan (Handshake, Vanilla Scan) ● -sU = UDP-Scan (UDP Scan, Linux Timing) ● -sN = TCP-NULL-Scan (RST, Filter Evasion, UNIX) ● -sF = FIN-Scan (RST, Filter Evasion, BSD) ● -sX = Xmas-Scans (RST, Filter Evasion, UNIX) ● -sA = TCP-ACK-Scan (Filter Detection) ● -sW = TCP-Window-Scan (Filter Detection) ● -sM = TCP-Maimon-Scan (RST, Filter Evasion) ● -sV = Versioning-Scan (Fingerprinting) ● -O/-A = OS-Detection/OS, Services, Scripts, Traceroute ● --scanflags = Benutzerdefinierter TCP-Scan 14. Juni 2012 18
  • 19. Portscanning im Jahre 2012 ● More Nmap Scans ● -sI <zombie host>[:<probeport>] = Idle-Scan ● -sO = IP-Protokoll-Scan ● -sR = RPC-Scan ● -b <FTP relay host> = FTP-Bounce-Scan ● -6 = IPv6-Scan ● -Sc/--script=default/safe/all = Scripting Engine (LUA) ● --top-ports ● -sY/-sZ = SCTP INIT/COOKIE-ECHO scans ● -f = Fragmented Scan ● -D = Decoy-Scan ● -S/-g = Spoof Source IP/Port ● -i = reverse ident scanning (process owner) 14. Juni 2012 19
  • 20. Portscanning im Jahre 2012 ● Nmap Idle Scan Open (Quelle: Book ) 14. Juni 2012 20
  • 21. Portscanning im Jahre 2012 ● Nmap Idle Scan Closed (Quelle: Book ) 14. Juni 2012 21
  • 22. Portscanning im Jahre 2012 ● Nmap Timing und Performance ● --min-hostgroup/--max-hostgroup <numhosts> ● Adjust parallel scan group sizes ● --min-parallelism/--max-parallelism <numprobes> ● Adjust probe parallelization ● --min-rtt-timeout/--max-rtt-timeout <time> ● Adjust probe timeouts ● --max-retries <numtries> ● Specify maximum number of probe retransmissions ● --host-timeout <time> ● Give up on slow targets 14. Juni 2012 22
  • 23. Portscanning im Jahre 2012 ● Nmap Timing und Performance ● --scan-delay/--max-scan-delay <time> ● Adjust delay between probes ● --min-rate/--max-rate <number> ● Directly control the scanning rate ● --defeat-rst-ratelimit ● Ignore those rate limits ● --nsock-engine epoll|select ● Enforce use of a given nsock IO multiplexing engine ● -T paranoid (0), sneaky (1), polite (2), normal (3), aggressive (4), and insane (5) ● Set a timing template 14. Juni 2012 23
  • 24. Portscanning im Jahre 2012 ● Nmap Scripting Engine ● Kategorien: auth, broadcast, brute, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, vuln ● Etwa 350 Scripts derzeit ● Prerule scripts (vor dem Scan), Host scripts (bei Host- Detektion), Service scripts (bei Service Detektion) und Postrule scripts (nach dem Scan) ● Ndiff ● Vergleichen von Nmap-Resultaten 14. Juni 2012 24
  • 25. Portscanning im Jahre 2012 ● Nping ● Netzwerk-Paket-Generator ● Protokolle: TCP, UDP, ICMP, ARP, Ethernet, IP ● Funktionen: Ping, DoS, Stresstest, ARP Poisoning, Firewall-Rules ausmessen, Paket-Korruption entdecken, Senden von Exploit-Payload ● Echo-Mode: Paket-Informationen (Nping Echo Servermode + Clientmode) ● Ncat ● Netcat-Ersatz mit mehr Funktionalität ● SSL-Support, Proxy-Support, Chaining, UDP, TCP, STCP 14. Juni 2012 25
  • 26. Tipps und Tricks ● Full Port Range: 0-65535 TCP und UDP ● ICMP Filter erschweren UDP Scans ● UDP nicht vergessen, auch wenn mühsam ● UDP applikatorisch prüfen (App Payloads) ● High-Range Ports TCP/UDP nicht vergessen ● Nur ein Subset von Ports scannen ● Portscans oder Portsweeps? ● Resultate immer verifizieren ● Low-Level-Informationen auswerten ● Portscanning → Fingerprinting → Attacking 14. Juni 2012 26
  • 27. Internet Scanning I/II ● Das Internet ist voll von RFC-incompliant Hosts (Microsoft, Cisco) ● Es gibt Hosts im Internet, die immer ACK's senden ● Auf ein Syn-Paket an einen Host kann die Antwort von einem anderen kommen (asynchrones NAT) ● Es gibt ganze Class-A Netzwerke im Internet, die leer sind (black holes) 14. Juni 2012 27
  • 28. Internet Scanning II/II ● Nie sequentiell scannen, immer Spread Spectrum (Blockweise zB. 256 Hosts, ARP- Flooding!) ● Das erste Syn-Paket geht oft verloren (ARP auf Router, kann droppen) ● Koordiniertes Scannen (ARP-Flooding! wenn zuviele Tester die gleichen Hosts scannen) ● Nie länger als 3 Sekunden pro Host auf Antwort warten (längere Antwortzeit = nicht interessant) ● Rücksicht auf Administratoren nehmen ;) 14. Juni 2012 28
  • 29. Tools I/III ● Insecure.org Nmap ● Windows/Linux/Mac GUI/Commandline 14. Juni 2012 29
  • 30. Tools II/III ●(McAfee/Foundstone) Superscan ● Windows-GUI / Wine unter Linux 14. Juni 2012 30
  • 31. Mehr Tools (Open Source) III/III ● Unicornscanner (Linux) ● Fast Network Scanner ● Metasploit Module (Linux/Windows) ● Scanners und Discovery-Tools ● Hping (Linux/Windows) ● Low-Level TCP/IP-Manipulation ● Angry-IP (Windows/Linux/Mac) ● Portscanner ● Advanced IP Scanner (Windows) ● Network Mapping 14. Juni 2012 31
  • 32. Referenzen ● Nmap ● http://nmap.org/ ● http://nmap.org/book/toc.html ● http://nmap.org/nping/ ● http://nmap.org/book/nse.html ● http://nmap.org/nsedoc/ ● Superscan ● http://www.mcafee.com/us/downloads/free-tools/superscan.aspx 14. Juni 2012 32
  • 33. Fragen / Diskussion ● Wem darf ich noch eine Frage beantworten? 14. Juni 2012 33