Hur kan man utnyttja olika portar som står öppna?

Permalänk
Medlem

Hur kan man utnyttja olika portar som står öppna?

Hej! Läste igenom ett antal trådar som var liknande, men hittade inte exakt ett svar på min fråga! Rätta mig gärna ifall någon jag skriver är fel, eftersom jag precis har börjat studera nätverksteknik.

Om vi börjar så här; om jag ska kontakta en Web-Server port på 80, så kommer min klient att skicka ett paket med Source IP och Source Port (som är slumpmässigt genererad), det finns även destination IP och dest Port till web-servern.

När jag får tillbaka svaret, så kommer ju svaret vara till min IP och den slumpmässiga porten som genererades innan. Och brandväggen kommer tillåta detta eftersom det är en s.k "Established session" och jag kommer få svar från Web-Servern, och anledningen att jag får ett svar är att brandväggen öppnar den slumpmässigt genererade porten, eftersom jag är "Established". Om jag förstår det så är väl alla inkommande portarna blockerade, som standard, om man inte har etablerat en session (grundutförande) (rätt/fel?).

Nu med det undanröjt angående tekniken bakom, vill bara klargöra så jag har förstått rätt kommer vi till den huvudsakliga frågan;

Låt säga att jag helt och hållet slänger iväg min router, och stänger av min brandvägg i Windows. Jag har ingen NAT eller liknande som döljer min interna adress, så min dator får en publik adress som hela världen kan nå. Nu eftersom ALLA portar är öppna, så innebär det ju en säkerhetsrisk, uppenbarligen. Frågan är bara varför? Vad exakt är det portarna utnyttjas för?

Om t.ex. port 25, 80, 443 etc är öppna för inkommande paket, vad exakt är det jag öppnar upp för? Eller säg för skojs skulle att jag har en brandvägg, öppnar port 80, och låter den stå öppen, fast jag inte har en tjänst där. Hur utnyttjar olika program mina portar? För t.ex. port 80 är ju tänkt för web-trafik, om min står öppen kan någon göra en liknande "spoofing"? Jag förstår inte alls det här faktiskt, om någon skulle kunna skina lite ljus över detta vore jag väldigt tacksam!

Om någon kanske har någon bra analogi, eller bara kan förklara tekniskt på ett lite grundligt sätt, vore jag väldigt tacksam! Och som sagt; rätta mig gärna ifall jag har förstått funktion fel från början!

Vänliga hälsningar!

Permalänk
Medlem

För att det ska vara någon fara så måste du ha någonting på porten i fråga. Har du ingen servertjänst (i detta fall webbserver) på port 80 så innebär det ingen som helst risk. Din dator kastar bara bort de paketen.

För en dator med Windows är nog smb de "värsta" portarna.

Skickades från m.sweclockers.com

Permalänk
Medlem

Jag kompletterar.
En dator lyssnar inte automatiskt på alla portar. Dvs, de är inte det minsta farliga att få attacker mot allt. Det är portar som den har tjänster på som är risker.

Microsofts SMB med portar som 445 (och några mellan135-139) är portar som är öppna och som man kan använda för att länsa en dator exempelvis.

Normalt brukar en dator som får paket mot en port som inte är öppen svara med RST (reset, dvs pratar inte med mig) på TCP eller om det är frågan om UDP svarar den med ICMP-felmeddelandet Destination port unreachable.

Permalänk
Skrivet av Talisker00:

Har du ingen servertjänst (i detta fall webbserver) på port 80 så innebär det ingen som helst risk.

...om inte själva TCP/IP-stacken på den angripna datorn har någon sårbarhet som går att utnyttja, t ex i form av oförmåga att hantera trafik som avviker från IP-standarden.

However,

  1. Den här typen av sårbarheter är väldigt sällsynta jämfört med brister i servertjänster. Ja, mitt exempel var t ex från 1996...

  2. En mjukvarubrandvägg hjälper normalt inte. Sårbarheten "sitter utanför" väggen.

Permalänk
Medlem
Skrivet av Hieronymus Bosch:

...om inte själva TCP/IP-stacken på den angripna datorn har någon sårbarhet som går att utnyttja, t ex i form av oförmåga att hantera trafik som avviker från IP-standarden.

However,

  1. Den här typen av sårbarheter är väldigt sällsynta jämfört med brister i servertjänster. Ja, mitt exempel var t ex från 1996...

  2. En mjukvarubrandvägg hjälper normalt inte. Sårbarheten "sitter utanför" väggen.

Ok, du har rätt, men den där ping of death när man skickar fragmenterade paket och andra sådana attacker har jag inte hört om på många år.
Den tog väl förresten inte bara på dator-os, utan även servrar som fick paketen krashade om jag inte minns fel.

Undrar vem som kom på det där förresten... Det största ping man kan skicka är 65535 bytes stort. För att göra det måste man dela upp det i flera paket genom att fragmentera. Det första paketet skickas med offset 0 och sedan skickar man fortsättningsvis med data "offsetat". Sannolikt skulle alltså paket nummer två skickas med data med offset 1472 och innehålla 1472 bytes det också.
Just ping of death innebar väl att man bara skickade ett enda paket, men med en offset som låg nära 65535 och en datamängd som gjorde att det sammanlagda pinget skulle bli över 65535 bytes stort. Då kopierades data in i en buffer som var maxstorleken (65535 bytes), men det liksom bytes som hamnade utanför det minnet och skrev sönder minnet som låg precis efter den allokerade buffern. Effekterna blev allt som oftast en rejäl krash.

Permalänk
Medlem

Jag har många gånger satt upp "servrar" som sitter direkt på internet och utan en FW.

Knepet är att ha full koll på vilka portar datorn lyssnar på samtidigt som man säkrar upp applikationerna med t.ex en tcp-wrapper. Datorn är fullt skyddad mot intrång men visst kan datorn bli utsatt för en ddos - men det kan även en firewall.

Permalänk
Medlem

Tackar för alla svar, men har fortfarande lite problem att förstå.

Låt mig säga att jag har en webtjänst hemifrån. Jag har en brandvägg och öppnar port 80, alla kan komma åt den. I samma fall, om jag stänger av brandväggen, och har en webtjänst, då kan också alla komma åt den. Men också alla andra portar (säg för skojs skulle att jag inte har några andra tjänster), hur skiljer det sig? Eller gäller det bara att ha stenkoll på sina tjänster, så att inget ligger på de öppna portarna?

Är det riktiga faran att ha t.ex. port 80 öppen, fast jag inte har någon tjänst där, är att något virus eller dylikt kan sätta upp en web-server på min sida eller?

Kan någon ge någon exempel där en brandvägg används och där en brandvägg inte används? Dvs. konkreta saker som utnyttjas i verkligheten?

Tacksam för svaren, och sorry att jag är lite trög ibland

Permalänk
Medlem
Skrivet av coca0001:

Är det riktiga faran att ha t.ex. port 80 öppen, fast jag inte har någon tjänst där, är att något virus eller dylikt kan sätta upp en web-server på min sida eller?

Tacksam för svaren, och sorry att jag är lite trög ibland

Öppna portar är portar som det ligger tjänster som lyssnar på anslutningar, som Talisker skriver. Har du ingen web server så använder du inte port 80. När du besöker en sida så är destination port 80 men source port(din dator) är en slumpmässig port. Så när web servern skickar tillbaka till dig så går de inte till port 80 på din dator utan din source port som öppnades för anslutningen.

Men ja, om du är infekterad redan med virus eller trojaner så kan de lägga sig som en tjänst och lyssnar på en specifik port.

De farligaste hoten är operativ system tjänster som ligger aktiva. Ett exempel skulle väl kunna vara om du har fjärrskrivbord påslaget som använder RDP på en specifik port, så när någon port skannar dig så ser de att du har den tjänsten igång och provar en massa RDP exploits för tillträde i din dator.