[Pluto-security] tentativo di attacco - forse
Fabio Panigatti
pluto-security@lists.pluto.linux.it
Fri, 25 Oct 2002 12:25:08 +0200
> > Non puo' essere stato un portscan: come fai a fare un portscan
> > con il flag FIN/ACK? ;-)
> nmap -sF -PT (-P0) host_da_scandire
Con questo:
1 - metti solo il flag FIN e non FIN+ACK; se metti un ACK ti viene
sempre resettato (RST);
2 - serve solo per fare la scansione di macchine *nix: come faceva
a supporlo l'attaccante, in mancanza di altre informazioni per
la cui raccolta avrebbe lasciato altre tracce dentro i file di
log di nerfilter (e che Andrea avrebbe notato visto che guarda
i log ed e' attento a questi aspetti);
3 - ti fai beccare da qualsiasi NIDS ;-)) Non e' proprio una buona
scelta per una prima scansione al buio.
... e poi:
4 - e' dietro ad un nat; si puo' fare ma non e' cosi' facile e non
tutti sulla rete possono farlo (solo quelli della sua subnet);
5 - perche' la 33067/tcp? E solo quella?
Fabio