Port-Scanning mit nmap

Zuletzt aktualisiert am: 02.06.2016

Nmap ist ein sehr mächtiges Tool zum Herausfinden ob Ports offen sind und auf eingehende Verbindungen warten. Dazu bietet nmap verschiedene Möglichkeiten einen Scan durchzuführen:

Stealth SYN-Scan
Der SYN-Scan stellt keine vollständige Verbindung zum Zielrechner her, wie es beim „Three-Way-Handshake“ üblich wäre. Dabei sendet nmap ein SYN-Paket und untersucht die Antwort des Zielrechners. Wird als Antwort ein SYN/ACK-Paket empfangen, werden Verbindungen auf diesem Port akzeptiert. Anstelle eines ACK-Paket zurückzusenden, wird die Verbindung durch nmap sofort unterbrochen, indem ein RST-Paket zum Zielrechner gesendet wird. Dies verhindert, dass der Dienst zu einem DoS Opfer wird.


sudo nmap -sS 192.168.0.1

UDP-Scan
Beim UDP-Scan sendet nmap an jeden zu prüfenden Port ein UDP-Paket, dabei ist der Paketinhalt meistens leer. Ist es jedoch ein „bekannter“ Port wie 53 oder 161 wird der Inhalt des Paketes dem Protokoll angepasst.


sudo nmap -sU 192.168.0.1

Scan mit „Lockadressen“ (Scan with decoys)
Das Scanning mit „Lockadressen“ versucht die eigene IP-Adresse, hinter mehreren aktiven IP-Adressen, zu verstecken. Dabei sendet nmap einige Pakete mit der eigenen IP-Adresse und sendet danach gefälschte Pakete mit den Lockadressen. Ein IDS kann so zwar erkennen, dass von einigen IP-Adressen einen Port-Scan durchgeführt wird, aber welche Adresse den effektiven Scan verursacht, ist nicht einfach zu bestimmen. Wichtig dabei ist, dass „decoys“ gewählt werden welche aktiv sind, damit der Zielrechner nicht Opfer eines SYN-Flooding wird.


sudo nmap -D 192.168.0.200,192.168.0.300 192.168.0.1

Im Beispiel wird der Zielrechner 192.168.0.1 gescannt. Die Lockadressen sind: 192.168.0.200 und 192.168.0.300

FIN-, X-mas- und Null-Scans
Bei diesen 3 Scans wird ein unsinniges Paket an jeden Port des Zielrechner geschickt. Wenn der Port aktiv ist, werden diese Pakete einfach ignoriert. Ist der Port jedoch geschlossen und das System reagiert wie im RFC 793 definiert, dann wird es ein RST-Paket zurückschicken. Diese Techniken funktionieren nicht auf allen Systemen, da sich nicht alle Implementierungen nach dem RFC 793 richten. Unter anderem sind das Microsoft Windows, einige Cisco-Devices, BSDI und IBM OS/400.

Null-Scan


sudo nmap -sN 192.168.0.1

Dabei ist kein einziges Flag gesetzt

FIN-Scan


sudo nmap -sF 192.168.0.1

TCP FIN-Flag ist gesetzt

X-mas-Scan


sudo nmap -sX 192.168.0.1

Da dieses Paket die Flags FIN, PSH und URG gesetzt hat, heisst die Technik xmas-scan. (Es leuchtet wie ein Weihnachtsbaum)

SYN-Scan
SYN-Scan bei einem Zielrechner mit Windows

Null-Scan
Ein Null-Scan beim selben Zielsystem, führt wegen der Implementierung zu keinem Resultat

zen.spamhaus.org – PBL

Zuletzt aktualisiert am: 28.06.2011

Die PBL von zen.spamhaus.org ist keine Blacklist, wie fälschlicherweise oft angenommen wird. IP-Adressen werden in dieser Liste nicht aufgenommen weil damit SPAM oder ähnliches verschickt wurde, sondern es handelt sich dabei um dynamische IP-Adressen, welche von den ISP’s, an Breitbandkunden verteilt werden. Die Liste beinhaltet weltweite dynamische IP-Bereiche.

FAQ Spamhaus PBL

Fussgänger-Simulation (2009)

Zuletzt aktualisiert am: 28.06.2011

Die Fussgänger-Simulation ist während dem Modul „Paralleles Rechnen“, im Herbstsemester 2009, in einer Gruppenarbeit entstanden.

Beschreibung
Es soll eine parallelisierbare Simulation einer fiktiven zweidimensionalen Welt von Fussgängern erstellt werden. Alle Fussgänger – wir wollen sie Agenten nennen – haben ein Ziel, das sie zu einer bestimmten Zeit erreichen möchten. Sie versuchen dies grundsätzlich so einfach wie möglich, d.h. durch eine gradlinige Folge von Schritten zu tun. Wir wollen annehmen, dass jeder Agent pro Sekunde genau einen Schritt in eine beliebige Richtung tun kann. Die Schrittweite ist (in Grenzen) frei und kann auch Null sein.

Vorgehen
Zuerst wurde eine Ein-Prozessor Fussgängerwelt erstellt, welche dann mit dem Framework MPI erweitert wurde, so dass die Applikation auf mehreren Rechnern lauffähig ist und auf jedem Rechner eine eigene Fussgängerwelt abbildet. Die Fussgänger können die Grenzen zwischen den einzelnen Welten (Rechner) überschreiten und die grenznahen Fussgänger nehmen auch Grenzgänger der Nachbarswelt wahr (near-collision detection). Begegnen sich zwei Fussgänger auf ihrem Weg ins Ziel und erkennen eine mögliche Kollision, dann weichen sie einander aus.

Fussgänger-Simulation
Fussgänger-Simulation:
hell grüne Agents = im Ziel
dunkel grüne Agents mit Vektor ins Ziel

XML – Fluchtsymbole

Zuletzt aktualisiert am: 07.06.2016

Irgendwo, irgendwann in einem Email:

Gemäss XML-Spy sollte das & Zeichen durch ein Fluchtsymbol ersetzt werden…

Ähm ja, was ist den ein Fluchtsymbol? Ist wohl ein Zeichen, das aus dem XML entflohen ist und freundlicherweise einen Vermerk hinterlassen hat? Da hilft wohl nur eines: dein Freund und Helfer die Suchmaschine. Also suche nach: „xml Fluchtsymbol“. 1 Treffer

Dort steht:

Ein Meta-Zeichen ist entweder ., \, ?, *, +, {, } (, ), [ oder ]. Diese Zeichen haben in regulären Ausdrücken eine spezielle Bedeutung, können aber als Fluchtsymbol angegeben werden, um Atome zu bilden…

Hmm.. irgendwie auch nicht das Richtige. Probieren wir dass selbe doch mal mit „xml meta zeichen“. 2 Treffer.

Aha, beim zweiten Treffer:

Die EntityNodes sind insbesondere zur Darstellung der XML Meta-Zeichen <, >, ’, “ und & notwendig

Und diese Zeichen sollten also als:

&lt; &gt; &apos; &quote; &amp;

geschrieben werden.

Hätte man den üblichen englischen Ausdruck „escape characters“ nicht ins Deutsche übersetzt, wäre es doch von Anfang an klar gewesen. ;o)

Gomoku online – ein einfaches Java-Applet (2007)

Zuletzt aktualisiert am: 11.10.2012

Gomoku ist der japanische Name für das Spiel „Fünf in einer Reihe“. Dabei handelt es sich um ein einfaches Strategiespiel, das oft mit Papier und Bleistift gespielt wird. Dabei versuchen die beiden Spieler eine Reihe mit 5 Kreisen / Kreuzen zu erstellen. Wer zuerst eine durchgehende Linie mit 5 Elementen hat, gewinnt das Spiel. Mit diesem einfachem Java-Applet können 2 Spieler gegeneinander, auf einer modernen oder klassischen Oberfläche, spielen. Dieses Java-Applet wurde beim Erlernen von Java, im Jahre 2007, in Zusammenarbeit mit H. Gut erstellt.

Das Applet ausprobieren

Mit VBScript OS Version bestimmen

Zuletzt aktualisiert am: 02.06.2016

Dieses Skript kann verwendet werden um die Server OS Version zu bestimmen. Das Skript liefert das Resultat für Windows 2000, Windows 2003, Windows 2008. Es kann jedoch auf einfache Weise erweitert werden, damit auch Client Versionen zurückgeliefert werden.


'/*
'	check windows version
'	return: 
'			win2k for windows 2000
'			win2k3 for windows 2003
'			win2k8 for windows 2008
'			unknown if the os is older / newer
'*/
function getOSVersion()
	strWinVersion = ""
	set objWMIService = GetObject("winmgmts:" _
		& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
	Set colOperatingSystems = objWMIService.ExecQuery _
		("Select * from Win32_OperatingSystem")
	For Each objOperatingSystem in colOperatingSystems
			strWinVersion = objOperatingSystem.Version
	Next

	'/**/	
	strMajor = left(strWinVersion,3)
	strOS = ""
	SELECT CASE strMajor
	case "5.0"
		'WScript.Echo "Windows 2000"
		strOS = "win2k"
	case "5.2"
		'WScript.Echo "Windows 2003"
		strOS = "win2k3"
	case "6.0"
		'WScript.Echo "Windows 2008"	
		strOS = "win2k8"
	case else
		'WScript.Echo "Windows x?" & "(" & strWinVersion & ")"
		strOS = "unknown"
	end select
	getOSVersion = strOS
End Function

Netcat als Port Scanner verwenden

Zuletzt aktualisiert am: 02.06.2016

Netcat kann als einfacher „Port Scanner“ verwendet werden. Dabei liefert das Tool nicht die vielen Optionen wie nmap, aber es genügt um herauszufinden welche Ports bei einem System offen sind.


nc -v 127.0.0.1 -z 80-1024

Parameter:

    -v zeige detailierte Ausgabe
    -z zero-I/O mode [Scanner-Modus]
    80-1024 Ports zum Scannen. Eingabe eines ganzen Bereiches oder nur eines einzelnen Ports

Prüfen ob der Port 80 bei www.monsterli.ch offen ist:


nc -v www.monsterli.ch -z 80
Connection to www.monsterli.ch 80 port [tcp/www] succeeded!

Netcat als Webserver verwenden

Braucht man kurzerhand einen Webserver, der eine einzelne statische Datei ausliefert, kann dies mit Hilfe von Netcat gemacht werden.
Anwendungsszenarien:

  • Testing
  • Beim Unterbruch eines Webservers, damit möglichst schnell eine Fehlerseite angezeigt wird

[cc lang=“bash“]
while true; do sudo nc -l 80 -q 1 < error.html; done [/cc]
Parameter:

    -l Port um auf Anfragen zu warten
    -q Sekunden die nc nach einem stdin warten soll bis es terminiert
    error.html Eine einfache statische HTML-Seite, welche ausgeliefert wird

Visueller Personenzähler (Bachelor-Thesis 2010/2011)

Zuletzt aktualisiert am: 11.10.2012

Die Zählung von Personen, die ein Gebäude oder Fahrzeug betreten, wird oft von Hand gemacht. Dazu braucht es zusätzliches Personal, welches mit Hilfe eines Handstückzählers die Personen zählt. Oft werden auch mechanische Zähler wie Drehtore eingesetzt, diese Massnahme kann jedoch zu Stau im Eingangsbereich führen. Eine sinnvolle Alternative zu diesen Methoden ist das visuelle Zählen mit einer Kamera.

Zielsetzung
Das Ziel der Bachelor-Thesis (2010/2011) war das Erstellen einer Applikation, welche mit Hilfe einer Kamera die an der Decke montiert ist, Personen zählen kann. Die Applikation soll in der Lage sein, zu unterscheiden ob eine Person den überwachten Bereich betritt oder verlässt. Dazu wird vor der Zählung der Erfassungsbereich im Bild festgelegt und definiert wo sich Ein- und Ausgang befinden.

Anwendungsgebiete
Diese Anwendung kann vielseitig eingesetzt werden, sei es im Sicherheitsbereich bei dem es darum geht sicherzustellen, dass sich nicht zu viele Personen in einem Gebäude / Fahrzeug befinden oder im Businessbereich um Besucherstatistiken zu erstellen. Diese Informationen können dann für Marketingzwecke oder die Personalplanung verwendet werden.

Lösungsansatz
Die Applikation unterstützt 3 Arten von Video-Inputs. Es ist möglich die Bilder über eine USB-Kamera, einer Axis Netzwerkkamera oder einer Filmdatei zu beziehen. Die Detektion von Personen erfolgt dann durch eine adaptive Hintergrundsubtraktion. Kurz es wird die Differenz eines Referenzbildes mit dem aktuelle Bild berechnet. Danach werden die dadurch detektierten Objekte von Bild zu Bild verfolgt und beim übertreten der definierten Zählerlinie gezählt. Damit diese Detektion funktioniert, kann die Applikation mit Hilfe von verschiedenen Parametern an die Umgebung und die Lichtverhältnisse angepasst werden.

Technisches
Da die Verarbeitung von Videoaufnahmen ein rechenintensiver Prozess ist, wurde die ganze Applikation mit der Programmiersprache C++ entwickelt. So entsteht kein unnötiger Ressourcenverbrauch wie dies bei Java oder C#, wegen der Laufzeitumgebung, der Fall wäre. Damit das Programm auf verschiedenen Betriebssystemen lauffähig ist, wurde das GUI mit dem Framework QT4 entwickelt. Dies ermöglicht es die Applikation spezifisch für die verschiedenen Betriebssysteme zu kompilieren und damit die Verwendung unter Windows, Unix/Linux (mit X – Windows System) sowie Mac OS X. Die Verarbeitung der Videodaten, sei dies aus einer Filmdatei oder aber von einer USB-Kamera, wurde mit dem Framework OpenCV realisiert. Das Framework OpenCV unterstützt die Programmierung mit sehr vielen effizienten Algorithmen im Bereich der Bildverarbeitung.

Visueller Personenzähler
Die Applikation beim Verfolgen zweier Personen im Erfassungsbereich

DNS – Blacklists abfragen mit Python

Zuletzt aktualisiert am: 02.06.2016

Ein einfaches Python-Skript zum Abfragen von DNS-Blacklists, welche adressbasiert sind.
Bei adressbasierten Blacklists wird die zu überprüfende IP-Adresse, in umgekehrter Reihenfolge, an die Domain angehängt. Dann wird eine DNS-Abfrage auf einen A-Record gestartet. Wird ein A-Record zurück geliefert, gilt die IP-Adresse als gelistet. Der A-Record wird eine IP vom Typ 127.0.0.x aufweisen.

Wenn man wissen möchte warum eine IP-Adresse in die Liste aufgenommen wurde, kann der TXT-Record abgefragt werden. In diesem Record wird vom Blacklist Betreiber oft der Grund für die Aufnahme hinterlegt.


SHOW_DEBUG_MSG = 0

import string
import sys
import socket

'''
@return: 0    If the ip-address is not blacklisted
@return: 1    If the ip-address is blacklisted
'''
def checkIfBlacklisted( ip, blacklistURL):
if SHOW_DEBUG_MSG: print "Checking %s on %s" %(ip,blacklistURL)

# turn ip "a.b.c.d" into "d.c.b.a.DNS_BLACKLIST_DOMAIN"
iplist = string.split(ip, ".")
iplist.reverse()
ip = string.join(iplist, ".")
ip += "." + blacklistURL

try:
#if blacklisted, we receive a IP in the range 127.0.0.x
ret = socket.gethostbyname( ip )
if SHOW_DEBUG_MSG: print "Blacklisted! returned: %s" %ret
return 1
except socket.gaierror, message:
if SHOW_DEBUG_MSG: print "Not blacklisted [%s]" % message
return 0

if __name__ == "__main__":
if len(sys.argv) > 2:
print checkIfBlacklisted( sys.argv[1] , sys.argv[2])

DNSBlacklistChecker.py

Zum Ausführen:


python script x.x.x.x zen.spamhaus.org

Mögliche Blacklists:

  • no-more-funn.moensted.dk
  • dnsbl.sorbs.net
  • zen.spamhaus.org
  • spews.dnsbl.net.au
  • dnsbl.NJABL.org
  • proxies.relays.monkeys.com
  • list.dsbl.org