Re: stealth scanning?

Datumsansicht Baumansicht Betreffansicht Attachement-Sicht

From: Mathias Waack (mathias_at_atoll-net.de)
Date: 10. May 2001


On Thursday 10 May 2001 16:03, Markus Hochholdinger wrote:
> There are also "stealth" port scanners. A packet with the TCP
> ACK bit set (as is done with established connections) will likely
> get through a packet-filtering firewall. The returned RST packet
> from a port that _had no established session_ can be taken as proof
> of life on that port. I don't think TCP wrappers will detect this.

Klingt witzig, kannte ich bis dato noch gar nicht. Ich habe mal was
dazu gelesen, was irgendwie so klang: der Scanner sendet einen
Request und schickt gleich danach ein Paket, welches das vorige Paket
mit dem Request canceled (irgendwie fuer invalid erklaert). Die
Firewall registriert dieses Paket dann nicht- es war ja invalid.
Allerdings kann es sein, dass bevor der Cancel eintrifft, schon der
Request beantwortet wurde. Genau darauf hofft der Scanner. Aber ich
bin auf dem Gebiet recht ahnungslos, ich lese sowas mit dem gleichem
Interesse und Verstaendnis wie andere Leute Science Fiction Buecher.
Vielleicht kann mal jemand mit mehr Ahnung was dazu sagen?

Mathias


Datumsansicht Baumansicht Betreffansicht Attachement-Sicht

Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET