werden Ports abgehorcht?
 

Ich möcht rausfinden, ob ein Virenscanner oder eine Firewall läuft. Dazu hab ich mir gedacht, könnte man prüfen, ob und wer bestimmte Ports abgehorcht. Bleibt mir nur noch die Frage wie.
Oder hat jemand auch eine andere idee, wie man das rausfinden könnte?

Re: werden Ports abgehorcht?
 

Wo möchtest du das kucken? Auf einem lokalen Rechner oder auf einem Rechner der im Internet ist?

Re: werden Ports abgehorcht?
 

auf einem Rechner, der im imternet hängt

Re: werden Ports abgehorcht?
 

Hi und herzlich willkommen in der DP! :hello:
Wofür brauchst du denn das? Ich frage, weil du explizit auf Virenscanner und Firewall hinweist...Ich meine, die sind ja dazu da, Ports zu überwachen. :wink: Und wie willst du das auf einem anderen Rechner bewerkstelligen? Hat der betreffende dein Programm :?:
Ohne dir was unterstellen zu wollen, aber das hört sich schon komisch an...

Man liest sich, Stanlay :hi:

Re: werden Ports abgehorcht?
 

Warum möchtest du wissen, ob bei mir ein Antiviren Programm oder Firewall läuft? Das geht dich gar nichts an.

Re: werden Ports abgehorcht?
 

Luckie glaub ich, meint das gleiche wie ich. Wenn hier nämlich Code veröffentlicht wird, der für was illegales eingesetzt wird /werden kann, dann gibts für die Verantwortlichen Ärger. Und da wir das alle nicht wollen, könntest du uns ja kurz erklähren, was du genau vorhast. :wink:

Man liest sich, Stanlay :hi:

Re: werden Ports abgehorcht?
 

Naja, Wissen ist Macht. Wenn die FireWall gut ist dann gibt es keine Möglichkeit einen geschlossenen Port von einem FireWall blockierten Port zu unterscheiden. Die FireWall wird dann nämlich auf diesem Port so reagieren als wäre dieser Port geschlossen. Dazu muß man aber wissen welche Staties ein Port annehmen kann:
1.) geschlossen, d.h. jede Anfrage auf diesem Port wird keienerlei Reaktionen hervorufen, somit wird der Client mit einem Timeout terminieren
2.) geschlossen aber belegt, d.h. eine FireWall blockiert diesen Port. Sie wird also alle was am Port reinkommt behandeln und abfangen. Für die Clientside ergibt sich aber das Bild das dieser Port geöffnet ist, aber nicht auf die entsprechenden Protokollabfragen antwortet. Der Client wird als mitbekommen das bei einem Verbindungsausbau der Serverport dropt, sprich die Verbindung AKTIV beendet.
3.) offen, auf dem Port reagiert eine Software.

Eine gute FireWall wird bei einem geblocktem Port so reagieren wie in 1.) und NICHT wie 2.). Leider machen das die wenigsten FireWall, technisch bedingt, da sie auf's SocketAPI des OS aufsetzen. D.h. die FireWall hat keine Möglichkeit ganz gezielt den kompletten TCP/IP Frame zu blocken, sondern nur dessen Weiterleitung in das System. Das underlaying Socket API wird also den Port wie in 2.) droppen.

Ganz "schlechte" FireWalls wiederum, setzen auf die geblockten Ports ein eigenes Protokoll drauf. D.h. sie antworten sogar und implementieren eine Info-Antwort oder sogar eine "Backdoor".

Gruß Hagen

Re: werden Ports abgehorcht?
 

Vielleicht noch genauer.
Aus Sicht der FireWall ist der Unterschied im Modus 1. und 2. die sogenannte "Stealth" Option. Bei einigen FireWall's kann man das einstellen. Im Stealth Modus verrät also die FireWall nicht das sie anwesend ist.

Grundsätzlich gibt es nur einen Informationstheoretischen Unterschied. Der Angreifer kann also im günstigsten Falle ermitteln das eine FireWall existent ist und eventuell welche FireWall es ist. Sollte nun die FireWall bekannte Schwachstellen besitzen so könnte der Angreifer auf Grund des fehlenden Stealth Modus schneller seine Angriffe anpassen. Da aber normalerweise eine FireWall keine Schwachstellen haben sollte ist es aus Sicht der Gesamtperformance des Internets besser wenn die FireWall den Port gezielt dropt. Denn nun entstehen keine unnötigen Timeouts.

Gruß Hagen

Re: werden Ports abgehorcht?
 

Zurück zur Frage "werden Ports abgehorcht ?"
Antwort: Ja. Man nennt dies den "Listen" Modus.

Gruß Hagen

Re: werden Ports abgehorcht?
 

@negaH: interessant! Auch der Listen-modus.
Aber wie genau kann man rausfinden, ob (und vielleicht auch welches programm) Ports abgehorcht werden?
@Stanlay: Ich möcht ein prog schreiben, das bestimmte Infos zur sicherheit eines PCs ausgibt. Darunter auch ob eine Firewall / ein Virenscanner läuft und welche!

Re: werden Ports abgehorcht?
 

Das ist teilweise möglich und wird ja durch schon existierende Lösungen auch bewiesen.
Die meisten FireWalls unterstützen Remote Administration. Es ist nun üblich das nachdem ein Client einen Server connected hat, der Server einen String sendet, zB. sowas wie "MS FTP" oder ähnliches, abhänig vom Protokoll. Kennt man nun den RAdmin Port der FireWall und sollte dieser fest sein, kann man versuchen auf diesem Port zu verbinden. Die FireWall wird sich in den meisten Fällen zu erkennen geben.

Desweiteren gibt es zB. bei einem ICMP Ping sehr viele Einstellungsmöglichkeiten im TCP/IP Frame. Bestimmte Programme nutzen ganz spezielle Bits und Bytes in diesem TCP/IP Frame. Anhand dieser Informationen kann man erkennen mit welchem Tool man es zu tun hat. Zb. wird ein ICMP abgesetzt, dann wird es durch die FireWall abgearbeitet und eventuell ins LAN weitergeleitet. Das LAN antwortet, und die FireWall filtert wieder. Bei dieser Filterung wird das ICMP Packet nicht direkt durchgelassen, sondern gemappt. Dieses Mapping setzt ganz bestimmte Bits und Bytes im Packet. Aufgrund dieser Informationen kann man abschätzen welcher Client am Port lauscht.

Einen generischen und universellen Ansatz kann es aber dafür nicht geben. Du solltest auch mal hier reinschauen http://www.iana.org/assignments/port-numbers, IANA legt zumindestens für die Standardports bis 1024 fest welcher Client auf welchem Port zu ereichen sein sollte. Abhänig vom Client weiß man also welches Protokoll sich hinter dem Port verbirgt. Die meisten Protokolle unterstützen auch eine Identifizierung der Software bzw. Protokollversion.

Das funktioniert aber nicht universell und mit jeder Software. Zb. meine Server sind immer so konstruiert das der Client der verbindet, einen speziellen header senden muß. NUR wenn dieser Header korrekt ist, also zB. die Login Informationen des Users stimmen, antwortet der Server. Ansonsten trennt der Server OHNE irgendwelche Rückmeldungen die Verbindung. D.h. meine selbstentwickelten Server arbeiten immer im Stealth Modus.


Gruß Hagen