Port sniffer gezocht

06 jul 2015, 16:25

Beste UB'ers,

Voor het werk mag ik beginnen aan een heel leuk klusje : een paar /24 ranges afscannen naar ip's die wel of niet in gebruik zijn, en dit vergelijken met onze database (already done). Klein probleem : sommige zijn windowsservers (dus snmp niet altijd "aan"), andere linuxservers. Dus vragen ze mij als bijkomende check om elk ip te controleren met Remote Desktop en Putty om te kijken of het een Windows of Linux bak is. Probleempje dat zich stelt : sommigen vinden het broodnodig om de poort van Remote Desktop en SSH te veranderen als "veiligheidsmaatregel".

Ik zoek dus concreet een prog'je dat een /24 iprange af scant op poorten die wijzen op SSH of op Remote Desktop.
Iemand een oplossing?

Oja : mocht iemand zich afvragen hoe het zover is kunnen komen : stagairs... (maar aub hierover geen discussie).

Kris

liber! · 06 jul 2015, 16:49

Zenmap, dit is gewoon een grafische schil rond nmap.

06 jul 2015, 16:54

Klopt, heb ik inmiddels gedownload. Helaas kan ik er in 1-2-3 geen optie in vinden om enkel te zoeken op SSH poorten die open staan of RD poorten die open staan alleen. Anders is het nogal onoverzichtelijk helaas...

Sinna · 06 jul 2015, 16:55

Met nmap ga je wel even werk hebben, tenzij dat ook al geautomatiseerd kan. Het feit dat je spreekt van services op niet-std-poorten maakt het enkel maar ingewikkelder. Kan een netwerkdump niet helpen om een aantal poorten te 'ontdekken'? Veel zal natuurlijk afhangen van hoe vaak SSH en RDP gebruikt wordt in de dagdagelijkse werking.

Sinister · 06 jul 2015, 17:02

Waarom stuur je niet gewoon pings voor te weten of die in gebruik zijn?

06 jul 2015, 17:08

Omdat je ook gewoon ping kan uitzetten?
En met ping weet je evenmin of het een Linux of Windows bak is (en op welke poort SSH/RD draait).

Sinister · 06 jul 2015, 17:17

En waarom zou dat uitgezet staan, dat staat standaard op elke machine aan.
Overigens is TTL 128 windows en TTL 64 unix
Voor al die andere problemen kan je best een network mapper kopen lijkt me, dat kan alles wat je nodig hebt.
Je kan ook al deze tools is proberen: http://www.darkreading.com/application- ... e_number=7

06 jul 2015, 17:20

Op Windowsservers staat het dacht ik niet standaard aan,
Anyway, er zijn gevallen waarvan we 100% zeker zijn dat "ping" uit staat, opnieuw omwille van de "veiligheid"

Sinister · 06 jul 2015, 17:22

Mss ben je hier wat mee: http://www.darkreading.com/application- ... e_number=7

06 jul 2015, 18:00

Windows servers hebben geen onboard SSH, enkel third party, iirc.
Remote desktop staat geloof ik ook altijd standaard af.
En vergeet ni, stagiairs, dus wie weet hoeveel settings er nog op "standaard" staan.

Er zijn ook sysadmins die icmp blokkeren, omdat "als je het toestel kan pingen weet je dat het er is en zou het gehacked kunnen worden".
Win8 is ook zo'n onding dat iirc zijn firewall icmp laat blokkeren, dus ga er nooit vanuit dat ping "just works".

[ Afbeelding

Post made via mobile device ]

Petervanakelyen · 06 jul 2015, 19:42

krisken schreef:Klopt, heb ik inmiddels gedownload. Helaas kan ik er in 1-2-3 geen optie in vinden om enkel te zoeken op SSH poorten die open staan of RD poorten die open staan alleen. Anders is het nogal onoverzichtelijk helaas...

'nmap -p22,3389 10.0.0.0/8' doet exact dat: de range scannen naar devices met poort 22 (SSH) of 3389 (RDP) open. Servers waarop die poort is aangepast kan je daarmee niet vinden, maar dat gaat sowieso een lastige worden. Als het puur gaat om Windows en Linux te detecteren kan je eventueel nmap's OS fingerprinting gebruiken:

Code: Selecteer alles

nmap -O 192.168.1.1

Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-06 19:48 Romance (zomertijd)
Nmap scan report for fritz.box (192.168.1.1)
Host is up (0.0028s latency).
Not shown: 991 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
23/tcp   open  telnet
53/tcp   open  domain
80/tcp   open  http
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
5060/tcp open  sip
8181/tcp open  unknown
MAC Address: C0:25:06:0D:5F:0A (AVM GmbH)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.13 - 2.6.32
Network Distance: 1 hop

-> Fritz!Box 7390, draait inderdaad Linux 2.6.

Code: Selecteer alles

nmap -O 192.168.1.101

Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-06 19:50 Romance (zomertijd)
Nmap scan report for Oin.fritz.box (192.168.1.101)
Host is up (0.0099s latency).
Not shown: 996 filtered ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
49156/tcp open  unknown
MAC Address: 00:1C:23:A8:3C:21 (Dell)
Device type: general purpose|phone
Running: Microsoft Windows 2008|7|Phone|Vista
OS details: Windows Server 2008 R2, Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Phone 7.5 or 8.0, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
Network Distance: 1 hop

-> Dell laptop, met Windows 7

Kenw00t · 06 jul 2015, 20:18

Niet de properste manier, maar zo doe je een Service scan op de niet-standaard poorten:

Code: Selecteer alles

nmap -sV -p- 192.168.1.0/24

Dit scant alle 65k poorten en probeert uit te zoeken welke service er al dan niet op elke poort draait. Helaas dus ook services die je niet wil zoeken...
Zal eens kijken hoe je dit specifiek op RDP en SSH kan instellen.

Je kan eventueel de -Pn optie nog toevoegen, want nmap pingt een host eerst op te zien of die leeft. Indien ICMP dus uitgeschakeld is, zou hij zonder -Pn zelfs niet verder scannen op zo'n IP.

Loeri · 06 jul 2015, 20:40

Voor mooie output in een bestandje

(Maar ja zoals sommigen zeggen, dit werkt enkel met de standaard poorten)

Command:

Code: Selecteer alles

nmap -PN -p 22 --open -oG - 10.0.0.0/24 | awk '$NF~/ssh/{print $2}' > sshopen.txt

Output:

Code: Selecteer alles

root@raspberrypi:/home/pi# cat sshopen.txt
10.0.0.1
10.0.0.242

RDP:

Command:

Code: Selecteer alles

nmap -PN -p 3389 --open -oG - 192.168.1.0/24 | awk '$NF~/ms-wbt-server/{print $2}' > rdpopen.txt

Output:

Code: Selecteer alles

root@raspberrypi:/home/pi# cat rdpopen.txt
192.168.1.130

Source: https://stackoverflow.com/questions/181 ... -open-port

Sinna · 06 jul 2015, 20:41

En dan maar hopen dat alle toestellen aanliggen en fysiek gelocaliseerd kunnen worden.

[ Afbeelding

Post made via mobile device ]

[ Afbeelding

Post made via mobile device ]

xming · 06 jul 2015, 20:57

Als je alleen wilt zien of de IPs in gebruik zijn, dan heb je echt geen portscanners nodig, gewoon een broadcast ping (of arping) en dan je arp table nakijen voila, dit werkt altijd zelfs alle udp/tcp poorten + icmp geblockt zijn.

06 jul 2015, 22:23

hm. I've lost a machine.. literally _lost_. it responds to ping, it works completely, I just can't figure out where in my apartment it is.

http://bash.org/?5273

In jouw geval zou ik ook gewoon met nMap beginnen spelen. De grafische schil errond biedt niet zoveel meer "extra", de command line versie op zich is al krachtig genoeg.

Kenw00t · 06 jul 2015, 22:53

xming schreef:Als je alleen wilt zien of de IPs in gebruik zijn, dan heb je echt geen portscanners nodig, gewoon een broadcast ping (of arping) en dan je arp table nakijen voila, dit werkt altijd zelfs alle udp/tcp poorten + icmp geblockt zijn.

Nmap doet dit altijd indien de host waarvan je scant in dezelfde subnet zit als je targets:
https://nmap.org/book/man-host-discovery.html

Also note that ARP/Neighbor Discovery (-PR) is done by default against targets on a local ethernet network even if you specify other -P* options, because it is almost always faster and more effective.

Een belangrijke kanttekening is wel dat dit enkel werkt op L2 uiteraard.

ubremoved_539 · 07 jul 2015, 08:43

Sinna schreef:En dan maar hopen dat alle toestellen aanliggen en fysiek gelocaliseerd kunnen worden.

Lang leve managed switches... gewoon alle niet gekende MAC adressen bannen... gedaan met spelen

Sinna · 07 jul 2015, 08:56

Klopt, maar dan zal je kort op de bal moeten spelen om niet de hele procesvoering in het honderd te laten lopen.

Loeri · 07 jul 2015, 19:34

Kdenk dat k het heb gevonden voor als het niet standaard poorten zijn

Code: Selecteer alles

nmap -PN -oG - 10.0.0.0/24 | awk '/open\/tcp\/\/ssh/ {print $2}'

Kan ook zijn dat je "open" moet vervangen door "filtered".

07 jul 2015, 20:01

Loeri : bedankt! Ik ga hier morgen (of overmorgen) eens mee verder en zet mn bevindingen hier!

Tnx aan iedereen alvast!

bruma · 07 jul 2015, 20:26

indertijd heb ik nog ipscan gebruikt
http://angryip.org/download/#windows

07 jul 2015, 21:19

Die laatste is ne goeie eenvoudige, enfin, toch de 2.x versie.
Zit ook in mijn arsenaal.

[ Afbeelding

Post made via mobile device ]

Kenw00t · 08 jul 2015, 10:12

Loeri schreef:Kdenk dat k het heb gevonden voor als het niet standaard poorten zijn
Code: Selecteer alles
nmap -PN -oG - 10.0.0.0/24 | awk '/open\/tcp\/\/ssh/ {print $2}'
Kan ook zijn dat je "open" moet vervangen door "filtered".

Zonder de optie -p- gaat Nmap enkel de 1000 meest populaire poorten scannen. Die optie moet er dus bij indien je alle 65536 poorten wil scannen.

Verder moet -sV er ook nog bij, aangezien hij de service kolom anders invult op basis van wat er op die poort normaal zou moeten draaien. Dus als poort 25 open staat, zal ie zeggen "mail", ook al is dit een pure gok op basis van een database. Om echt te zien welke service er dus op een poort draait, moet je Service en Version Detection inschakelen met -sV.

Zie:
https://serverfault.com/questions/39173 ... -all-ports
https://nmap.org/book/man-version-detection.html

Port sniffer gezocht

Userbase AI hulp

Antwoord