scan de port [Résolu]

[mistify]

bonsoir tout le monde!

Je me fais tout le temps scan les ports 1026 1027 1028 1029 1030 1032

meme si mon firewall les bloques j'aurais bien aimé savoir par curiosité a quoi ces ports sont alloués.

j'arrive pas trop a comprendre en cherchant sur le net donc si quelqu'un a une bonne explication a donner je suis preneur ^^

merci d'avance

a bientot

[ArHacKnIdE]

Salut,

Regardes sur cette page il y a tous les ports avec leur correspondances.

http://www.iana.org/assignments/port-numbers

[LaChips]

D'après http://www.iana.org/assignments/port-numbers :
1026 : Calendar Access Protocol
1027 : Unassigned (Removed on 2005-09-16)
1028 : Deprecated February 2004
1029 : Solid Mux Server
1030 : BBN IAD
1031 : BBN IAD
1032 : BBN IAD

Edit : grillé de peu !

[mistify]

ok merci je viens de regardé, apparement il y a un truc en rapport avec access et aprés "solid mux server" et BBN IAD que je connais pas

[ArHacKnIdE]

the BBN (Bolt, Beranek and Newman) Interface Access Device

[David.Schris]

Citation:

Envoyé par mistify

bonsoir tout le monde!

Je me fais tout le temps scan les ports 1026 1027 1028 1029 1030 1032

meme si mon firewall les bloques j'aurais bien aimé savoir par curiosité a quoi ces ports sont alloués.

j'arrive pas trop a comprendre en cherchant sur le net donc si quelqu'un a une bonne explication a donner je suis preneur ^^

merci d'avance

a bientot

Bonsoir,

A la question "j'aurais bien aimé savoir par curiosité a quoi ces ports sont alloués", j'avoue que je serai tenté de répondre "ça dépend où".

Mais commençons par le commencement...

Premièrement, les numéros de ports sont une chose...maintenant il faudrait préciser de quel protocole il s'agit : j'y reviendrai.

Ensuite, tu (<-pas de pb pour le tutoiement ?) parles de "scan"...mais s'agit-il réellement d'un scan ?

"Mais où veut-il en venir ?"

En fait, je me suis posé la même question il y a quelques années et moi non plus je n'ai pas trouvé de réponse sur internet (il y avait des réponses mais j'avais mal cherché).
J'ai regardé les logs de mon pare-feu et ai vu que ce qui arrivait sur ces ports (de 1025 à 1029 et des poussières) étaient des datagrammes UDP (avec un "P" comme "Protocol", j'avais dit que j'y reviendrai ).
Alors j'ai écrit un petit programme (en Java si ça intéresse quelqu'un) qui permettait d'écouter ce qui arrivait (via UDP) sur une série de ports et enregistrait le contenus de ces datagrammes dans un fichier texte (sous forme de texte avec l'équivalent en hexadécimal à côté), j'ai lancé mon programme et j'ai paramétré mon pare-feu pour que les ports concernés soient ouverts.
Si tu as un peu de temps et es en train d'apprendre à programmer, tu peux faire pareil : cela peut être un bon exercice (pas difficile et "utile").
Si tu n'as pas de temps, pas envie de programmer, peur de modifier les paramétrages de ton pare-feu...tu peux utiliser un "sniffer" comme Wireshark pour enregistrer ces datagrammes (en tous cas, sous linux...je n'ai pas essayé sous windows et je ne saurais garantir que winpcap se comporte exactement comme libpcap dans tous les cas).

Ensuite, j'ai regardé ce qu'il y avait dedans. Extrait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
00000000: 04 00 28 00 10 00 00 00  00 00 00 00 00 00 00 00 | ..(.............
00000010: 00 00 00 00 00 00 00 00  f8 91 7b 5a 00 ff d0 11 | ..........{Z....
00000020: a9 b2 00 c0 4f b6 e6 fc  00 00 00 00 00 00 00 00 | ....O...........
00000030: 00 00 00 00 00 00 00 00  00 00 00 00 01 00 00 00 | ................
00000040: 00 00 00 00 00 00 ff ff  ff ff 57 01 00 00 00 00 | ..........W.....
00000050: 10 00 00 00 00 00 00 00  10 00 00 00 53 45 43 55 | ............SECU
00000060: 52 49 54 59 00 00 00 00  00 00 00 00 10 00 00 00 | RITY............
00000070: 00 00 00 00 10 00 00 00  41 4c 45 52 54 00 00 00 | ........ALERT...
00000080: 00 00 00 00 00 00 00 00  13 01 00 00 00 00 00 00 | ................
00000090: 13 01 00 00 53 59 53 54  45 4d 20 45 52 52 4f 52 | ....SYSTEM ERROR
000000a0: 3a 20 57 69 6e 64 6f 77  73 20 68 61 73 20 64 65 | : Windows has de
000000b0: 74 65 63 74 65 64 20 53  70 79 77 61 72 65 20 72 | tected Spyware r
000000c0: 75 6e 6e 69 6e 67 20 6f  6e 20 79 6f 75 72 20 63 | unning on your c
000000d0: 6f 6d 70 75 74 65 72 2e  0a 0a 53 70 79 77 61 72 | omputer...Spywar
000000e0: 65 20 63 61 6e 20 64 61  6d 61 67 65 20 63 72 69 | e can damage cri
000000f0: 74 69 63 61 6c 20 73 79  73 74 65 6d 20 66 69 6c | tical system fil
00000100: 65 73 20 2c 20 74 72 61  63 6b 20 79 6f 75 72 20 | es , track your 
00000110: 6f 6e 6c 69 6e 65 20 61  63 74 69 76 69 74 69 65 | online activitie
00000120: 73 20 61 6e 64 20 64 69  73 70 6c 61 79 20 70 6f | s and display po
00000130: 70 2d 75 70 73 2e 0a 0a  41 6e 74 69 2d 56 69 72 | p-ups...Anti-Vir
00000140: 75 73 20 61 6e 64 20 46  69 72 65 77 61 6c 6c 20 | us and Firewall 
00000150: 73 6f 66 74 77 61 72 65  20 63 61 6e 20 6e 6f 74 | software can not
00000160: 20 70 72 6f 74 65 63 74  20 79 6f 75 2e 0a 0a 56 |  protect you...V
00000170: 69 73 69 74 3a 20 20 77  77 77 2e 77 69 6e 2d 66 | isit:  www.win-f
00000180: 69 78 2e 63 6f 6d 20 20  66 6f 72 20 66 72 65 65 | ix.com  for free
00000190: 20 72 65 6d 6f 76 61 6c  20 69 6e 66 6f 72 6d 61 |  removal informa
000001a0: 74 69 6f 6e 21 0a 00                             | tion!..

Oh ! Un message ! On m'écrit !

Ensuite, je me suis dit : "il est bien joli mon programme, mais il ne me décode pas tout"... Alors j'ai utilisé Ethereal (l'ancêtre de Wireshark) et ce dernier a disséqué tout ça et m'a appris que dans ces datagrammes UDP était encapsulé du MSRPC (un protocole de plus haut niveau qui, en gros et en schématisant, permet à un programme tournant sur une machine d'appeler une fonction tournant sur une autre machine...un peu comme du SOAP ou du Corba [1] mais différent), que la fonction appelée était une fonction destinée à afficher des messages sur la machine cible et qu'elle était appelée sans authentification.
Comme j'avais déjà vu ce style de messages s'afficher sur l'écran d'une machine (Windows [2]) mal configurée, je savais que ces derniers s'affichaient de la même façon que ceux qu'on envoie avec la commande "net send" (sauf que là, ça ne passe pas par NetBIOS).

"Oui, mais c'est quoi sans parler technique ?"
C'est du spam. Tu pourras trouver le terme de "net send spammer" sur certains sites.
Des gens utilisent des programmes qui envoient des paquets MSRPC sur un grand nombre de machines dans l'espoir que le message qu'ils contiennent s'affiche devant les yeux d'un utilisateur crédule qui croira ce qu'il lit.
Dans mon cas, c'était relativement "drôle" puisque le message me disait que Windows avait détecté un spyware sur ma machine...alors que j'étais sous linux...
Pour d'autres personnes, c'est moins drôle : elles sont sous Windows, croient ce qui est écrit et vont visiter le site mentionné dans le message...site qui leur installe un spyware, justement.

Voilà-voilà...
Que dire de plus ?

Mmmhhh... Quelques détails pas si anodins :
- c'est de l'UDP donc l'adresse source peut être "spoofée" (et l'est dans la majorité des cas), inutile donc d'interdire cette adresse via ton pare-feu ;
- quand on analyse le contenu de ces paquets dans le détail, on s'aperçoit que les outils utilisés par ces "spammers" sont mal écrits ;
- il n'y a pas de port prédéfini pour MSRPC, le numéro de port est attribué dynamiquement à chaque début de "session", or les "spammers" n'établissent pas de "session" dans les règles (ils envoient directement leur message)...ce qui explique qu'ils envoient les datagrammes sur des ports au hasard compris dans la plage habituellement utilisée pour MSRPC en espérant tomber sur le bon.

Ai-je été clair ?

PS : Tu verras d'autres ports (toujours en UDP) apparaître dans tes logs : le 1434 (généralement un "vieux" vers qui se ballade toujours), 137 (souvent une tentative d'obtenir des infos sur une machine Windows (partages, etc)), etc...il faut aller voir ce qu'il y a dedans pour être sûr de ce dont il s'agit...

[1] : engueulez-moi si je dis une con..rie, mais n'oubliez pas que je simplifie...
[2] : le "MS" de "MSRPC", c'est pour "MicroSoft".

[ArHacKnIdE]

Jolie message

Maintenant à la chasse aux conneries (blague)

Pour obtenir le même resultat tu branches ethereal ou qqchose dans le genre et ça suffit, qu'il faut configurer à sa convenance bien sur

Je pense que ce que detecte ton firewall c'est simplement les requetes SYN des clients mais peut être je me trompe

C'est un genre de SPAM

Je me suis fait un scanner de port en C# et j'avoue avoir était étonné par la multitude de ports qui sont ouverts et qui n'aparaissent pas dans nmap

A une epoque(AOL) je recevai c'est message sous le service messenger de Windows(net start/stop messenger et net send...) alors je l'ai désactivé à chaque démarrage pour arreter de les recevoirs

Enfin Voilà ^^

EDIT : C'est pas plutot le port 139 -> Netbios et le 135 -> MSRPC

[David.Schris]

Citation:

Envoyé par ArHacKnIdE

Jolie message

Merci

Citation:

Envoyé par ArHacKnIdE

Maintenant à la chasse aux conneries (blague)

Pas de problème (blague (blague)).

Citation:

Envoyé par ArHacKnIdE

Pour obtenir le même resultat tu branches ethereal ou qqchose dans le genre et ça suffit, qu'il faut configurer à sa convenance bien sur

C'est sympa de dire que mon message est "jolie" (sans "e" normalement) sans l'avoir lu

Citation:

Envoyé par ArHacKnIdE

Je pense que ce que detecte ton firewall c'est simplement les requetes SYN des clients mais peut être je me trompe

Si c'est de l'UDP et qu'il y a un flag SYN d'activé, surtout tu m'appelles en urgence ! (blague)

Citation:

Envoyé par ArHacKnIdE

C'est un genre de SPAM

A priori oui.

Citation:

Envoyé par ArHacKnIdE

Je me suis fait un scanner de port en C# et j'avoue avoir était étonné par la multitude de ports qui sont ouverts et qui n'aparaissent pas dans nmap

Et que fait ton scanner que ne sait pas faire nmap ? (pas blague)

[ArHacKnIdE]

En fait c'est jour de BLAGUE

Pour mon scanner il est très basique mais le truc qui me trouble, c'est qu'il va detecter plus de ports de connexions que nmap

Avec mon scanner je peux voir les ports de connexions de mes serveurs de jeux en "Listen", mon messenger perso reseau... tandis que avec nmap, on voit pas

On s'ecarte...

[David.Schris]

Citation:

Envoyé par ArHacKnIdE

Pour mon scanner il est très basique mais le truc qui me trouble, c'est qu'il va detecter plus de ports de connexions que nmap

Avec mon scanner je peux voir les ports de connexions de mes serveurs de jeux en "Listen", mon messenger perso reseau... tandis que avec nmap, on voit pas

Excuse-moi mais ça manque un peu de données techniques précises... Genre : le fonctionnement de ton scanner (si ce n'est pas ultra-secret, bien sûr), les options de nmap utilisées, des infos sur les services trouvés ou pas (protocole, etc), des infos sur le/les pare-feu sur la machine hébergeant les services trouvés ou pas et sur la machine sur laquelle tournait ton scanner (au fait : la même machine ?), etc...
Sinon, si tu as du code source à nous montrer...

Citation:

Envoyé par ArHacKnIdE

EDIT : C'est pas plutot le port 139 -> Netbios et le 135 -> MSRPC

TCP/IP ? UDP/IP ? Il va falloir apprendre à préciser (Je suppose que tu parles de TCP mais je préfère être exigeant, ça peut éviter des malentendus sur d'autres sujets)
Pour ce qui est de MSRPC, tout ne se limite pas à un port car, comme écrit dans mon premier message, certains sont alloués dynamiquement. Si vraiment tu es motivé, tu peux lire ça (bon courage...et c'est sincère).

[ArHacKnIdE]

En fait je suis pas un AS, j'apprends ! Mais je peux te montrer un bout de code et tu vas vite comprendre comment je m'y prends, peut être n'est-ce pas bon

Citation:

for (int i = portdep; i < portfin; i++)
{

System.Net.Sockets.TcpClient tcpclient = null;

try
{
tcpclient = new System.Net.Sockets.TcpClient(abc, i);


Console.Out.Write(i);
Console.Out.Write("\n");

}
catch
{

}

}

Alors la variable "abc" est définit par l'utilisateur au début du programme, à savoir une IP, une adresse www.google.com...

"portdep" et "portfin" c'est la plage de ports à scanner, définit également par l'utilisateur.

Il reste "i" qui est pour le scan en fait

Donc en fait le programme va sur toute la plage de port indiqué, tester si la connexion marche sur "abc" sur le port "i" et si oui affiche le numero du port.

C'est un système logique assez simple mais peut être que c'est pas du top

[_solo]

Citation:

Envoyé par David.Schris

Et que fait ton scanner que ne sait pas faire nmap ? (pas blague)

Le mien il sait modifier les TTLs si un paquet ne reviens pas apres X sec , modifie les Flags , et fait meme dusource routing bref il peut modifier presque tous les champs d'un entet TCP et meme UDP de maniere pseudo automatique et pour scanner derriere les firewalls et autres BOX woooo !

[David.Schris]

Citation:

Envoyé par ArHacKnIdE

En fait je suis pas un AS, j'apprends !

C'est plutôt bien J'ai dit le contraire ?

Citation:

Envoyé par ArHacKnIdE

Mais je peux te montrer un bout de code et tu vas vite comprendre comment je m'y prends, peut être n'est-ce pas bon

[...code...]

Alors la variable "abc" est définit par l'utilisateur au début du programme, à savoir une IP, une adresse www.google.com...

"portdep" et "portfin" c'est la plage de ports à scanner, définit également par l'utilisateur.

Il reste "i" qui est pour le scan en fait

Donc en fait le programme va sur toute la plage de port indiqué, tester si la connexion marche sur "abc" sur le port "i" et si oui affiche le numero du port.

Ce qui correspond à un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
nmap -sT -P0 -p <portdep>-<portfin> -r <abc>

Où :

• -sT correspond à TCP connect scan
• -P0 veut dire "pas de ping pour savoir si l'hôte est présent"
• -p <portdep>-<portfin> spécifie la plage de ports à scanner
• -r indique que l'ordre des ports scannés ne doit pas être aléatoire
• <abc> est le nom ou l'IP de la machine

Citation:

Envoyé par ArHacKnIdE

C'est un système logique assez simple mais peut être que c'est pas du top

Je t'accorde que ce n'est peut-être pas ce qui se fait de mieux (pour comparer avec nmap, puisqu'on parle de lui, tu peux lire http://www.insecure.org/nmap/man/fr/...cela peut te donner des idées).
Quelques idées simples pour les étapes suivantes : pouvoir spécifier autre chose qu'un port de début et un port de fin (une liste de ports), afficher le nom du service correspondant aux ports affichés, être capable de scanner plusieurs hôtes en même temps, scanner avec plusieurs threads, permettre de choisir la vitesse du scan...
Si vraiment le sujet t'intéresse : documentes-toi et passe au niveau supérieur (genre ça mais en plus complet...).

Amuse-toi bien !

PS : mais tout ça ne nous dit pas comment tu as pû avoir de meilleurs résultats avec ton programme comparé à nmap...

[ArHacKnIdE]

Merci à Toi

Citation:

Envoyé par David.Schris

PS : mais tout ça ne nous dit pas comment tu as pû avoir de meilleurs résultats avec ton programme comparé à nmap...

Justement c'est ce que je trouve de plus bizarre, c'est pas forcement "meilleur" comme je l'ai précisé plus haut, mais mon petit logiciel me detecte des ports que nmap ne trouvent pas

Exemple, mes ports de serveurs de jeux qui sont dans les 20000, nmap ne les detectes jamais alors que le mien les detectes et même d'autres que je ne conaissais même pas l'existence

J'ai pensé à donner la signification de chaque port mais je vais pas faire 65000(environ) conditions

Il faudrait que je fasse un genre de petite BDD...

Enfin Voilà

Ravie d'avoir parlé avec toi

[_solo]

Citation:

Envoyé par ArHacKnIdE

(...)J'ai pensé à donner la signification de chaque port mais je vais pas faire 65000(environ) conditions (...)

le mieux c'est de faire comme p0f utiliser la BDD d'empreintes d'nmap et d'y rajouter les tiennes ou de l'adapter aux ton outils

[ArHacKnIdE]

Qui est p0f et comment je peux faire ça ?

En plus on dérive là

[_solo]

p0f http://lcamtuf.coredump.cx/p0f.shtml utilitaires permettant de faire des scans passif ( pas d'alerte nulle part ) etant donner qu'il est open source est qu'il utilise la base de donner nmap pour reconnaitre des systemes distant tu peut l'utiliser comme 'tuto' et utiliser toit aussi la base nmap pour ton scanner.
<mode derive =off>

[ArHacKnIdE]

Merci beaucoup

[David.Schris]

Citation:

Envoyé par ArHacKnIdE

Merci à Toi

Je t'enverrai la facture d'ici une semaine.

Citation:

Envoyé par ArHacKnIdE

Exemple, mes ports de serveurs de jeux qui sont dans les 20000, nmap ne les detectes jamais alors que le mien les detectes et même d'autres que je ne conaissais même pas l'existence

Réessaye avec les options que je t'ai données. Tu aurais oublié de spécifier les ports à nmap que ça ne m'étonnerait pas....

Citation:

Envoyé par ArHacKnIdE

J'ai pensé à donner la signification de chaque port mais je vais pas faire 65000(environ) conditions

Il faudrait que je fasse un genre de petite BDD...

Un fichier texte, chaque ligne de la forme "numéroPort [TABULATION] protocole [TABULATION] nomService" [1] (où protocole est soit "tcp" soit "udp"). Au lancement du programme, tu lis le fichier texte et le met dans un tableau, une collection, ou un truc du même style. Quand tu dois afficher un nom de service, tu recherches le numéro de port et le protocole dans ton tableau/ta collection et tu affiches le nom correspondant.

Citation:

Envoyé par ArHacKnIdE

Enfin Voilà

Ravie d'avoir parlé avec toi

Pareil. J'adore étaler ma science

Citation:

Envoyé par _solo

le mieux c'est de faire comme p0f utiliser la BDD d'empreintes d'nmap et d'y rajouter les tiennes ou de l'adapter aux ton outils

Sauf que les noms des services ne sont pas dans "la BDD d'empreintes de nmap" ("nmap-os-fingerprints") mais dans "nmap-services".


[1] - ou mieux, dans le même format que celui utilisé par nmap (et par plusieurs systèmes) : "nomService [TABULATION] numeroPort/protocole".

[_solo]

Citation:

Envoyé par David.Schris

Sauf que les noms des services ne sont pas dans "la BDD d'empreintes de nmap" ("nmap-os-fingerprints") mais dans "nmap-services".

et surtout qu'il n'est pas question de service car il y a etc/service pour ca