Portscan zurückverfolgen?

#1 Hi Leute,

weiß jemand, wie ich einen Portscan zurückverfolgen kann???????

Ich hab da irgendwas von Backtrace oder wie das heißt gehört.

Vielleicht kann mir wer helfen.

Wäre echt toll!

Gruss
Christoph

#2 Warum willst du Portscans zurückverfolgen?
Ein Portscan an sich ja nichts ungewöhnliches oder schlimmes!

Du meinst bestimmt NEOTRACE, oder!?
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#3 Hi Evil,

ich will halt wissen, wer das ist.

#4 @Raptor123

www.snort.org

Snort ist ein open source NIDS (Network Intrusion Detection System).

Es verfolgt port scanns etc. zurück und loggt diese.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Ich versteh den Sinn bloss nicht! Wirst du angegriffen? Selbst wenn du ihn zurück verfolgst, woher willst du wissen das es auch derjenige ist, könnte ja auch ein von ein Proxy sein. Was hast du gegen Portscans und was bringt dir das wenn du weist wer da ist?
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#6 Moin Raptor123

wenn du mit Rückverfolgung im Ergebnis eine Adresse + Name meinst... vergiss es. Wenn du Glück hast, kommst du an den Scanner auf 100, wenn's ganz gut läuft, auf 50 km ran. Ende. Dazu reicht allerdings schon ein einfaches tracert über Kommandozeile. Die letzten beiden Hops zeigen dir, wo ungefähr der Rechner steht... aber wirklich nur ganz ganz grob. Und immer vorausgesetzt er sitzt nicht hinter einem Proxy... wie Evil schon sagte.

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#7 also wenn der User dumm ist, dann macht er den Portscan direkt... ich hab auch nie gehört, wie man über einen PROXY scannen kann.... und wenn dann nur wahrscheinlich über einen SOCKS, oder???? bitte um Belehrung, wenn irgendjemand etwas detailiertes davon weiß....

also ich würd einfach -> "Black ICE Defender" installieren... und wenn dich jemand scannt dann steht dort -> ATTENTIONortscan von der IP:XXXXXXX

dann würde ich auf:

www.dnsstuff.com gehen und die IP eintragen, und schauen zu welchen Provider die IP gehört..... dann hab ich schon ca. eine Ahnung was für einen INTERNET Anschluss der User hat, und ob es jemand ist den ich kenne....

Gesetzliches:
Hab gehört das PORTSCANS eigentlich nicht erlaubt sind...
unternehmen tut dagegen eh niemand was... denn es ist ja noch kein Einbruch, es ist nur ein Abtasten ob etwas bei dir läuft....

kommt der Portscan in regelmäßigen Abständen ist es natürlich unangenehm...
aber du kannst die ermittelte IP, oder die des NETZES in deiner Firewall einstellen und dann werden alle Packte die von dort kommen geblockt....

nur wenige USER wissen auch was mit PORTSCANS anzufangen....
ob ein FTP läuft, ob ein MAILSERVER läuft, ob ein PROXY läuft....
oder manche machen es nur um andere zu ärgern und in shock zu versetzen...
sie wissen das die Firewall anspringt und versetzen den Benutzer in eine ängstliche Lage.... also vor nem Portscan braucht man keine Angst haben
__________
Erreichbar im IRC im Computer Security Channel: irc.euirc.net / 6666 / #compusec

#8 Ein Portscan ist definitiv nichts schlimmes. Es gibt keine bösen Hacker, nur unzureichend informierte User. Es liegt an dir deine Maschine sauber zu halten.

Für mich ist ein Portscan durchaus sehr legal. Aber ob das Gesetz das so sieht weiß ich leider gar nicht.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Erst mal hat das nichts mit Hackern zu tun, wohl eher "Cracker" oder Scriptkiddis! 2. kann es auch sein, wenn er keine statische IP hat, das er eine tote eDonkey, eMule etz. IP ab und zu erwischt und daher manchmal so masiv "gescant" wird! Oder seh ich das falsch?
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#10 Nmap -b (proxy)

Zitat

-b <FTP-Relay Host>
FTP-Bounce Attacke: Ein interessantes "Feature" des
File Transport Protocols (RFC 959) ist die Unter­
stuetzung von "Proxy"-FTP-Verbindungen. Mit anderen
Worten ist es moeglich, sich von boese.com auf
ziel.com zu verbinden und eine Datei ueberall hin
zu schicken. Nun, dies hat wohl ausgezeichnet funk­
tioniert, als 1985 das besagte RFC geschrieben
wurde. In der heutigen Zeit ist es nicht mehr ohne
weiteres Moeglich, sich auf fremde FTP-Server zu
verbinden und nach Belieben Dateien zu versenden.
*Hobbit* schrieb 1995 folgendes zu dieser Schwach­
stelle: "[This protocol flaw] can be used to post
virtually untraceable mail and news, hammer on
servers at various sites, fill up disks, try to hop
firewalls, and generally be annoying and hard to
track down at the same time." Bei dieser Scanning-
Methode wird ein als Proxy fungierender FTP-Server
genutzt, um die offenen Ports eines Zielsystems
ausfindig zu machen. Beispielsweise kann dadurch zu
einem hinter einer Firewall positionierten FTP-
Server verbunden werden, um danach interne, durch
das Firewall-Element gegen externe Zugriffe
geschuetzte Ports (z.B. die NetBIOS-Ports)
anzusprechen. Falls auf dem FTP-Server ein Verze­
ichnis existiert, bei dem sowohl Lese- als auch
Schreibrechte vorhanden sind (z.B. /incoming),
kann eine semi-manuelle Uebergabe von Daten an die
Zielports durchgefuehrt werden (nmap nimmt einem
diese Arbeit nicht ab).

Das mit der Option '-b' uebergebene Argument, spez­
ifiziert den als Proxy gewollten Host, wobei die
standard URL-Notation gilt. Das Format lautet
Benutzernameasswort@Serverort. Alles, ausser
Server ist optional. Wie eine Determinierung der
gegen diese Zugriffsform verwundbare Server
vorgenommen werden kann, kann in meinem Artikel in
Phrack 51 nachgelesen werden. Eine aktualisierte
Version ist auf der nmap Webseite (http://www.inse­
cure.org/nmap) verfuegbar.

b]Scanner[/b]
http://www.nmap.org/ [Nmap]
http://fink.sourceforge.net/pdb/package.php/portsentry/ [Portsentry / Notfalls über Packetstorm holen]
http://www.openwall.com/scanlogd/ [ScanlogD]
http://www.snort.org/ [IDS]
http://www.nessus.org/ [Sec-Scanner]


mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#11 Hi Leute,

erst mal danke für eure zahlreichen Antworten.

Ich hab jetzt ein Tracert gemacht, aber ich weiß nicht, was die Auswertung bedeutet. Kann mir wer von euch weiterhelfen?

Gruss
Christoph

#12 Moin Raptor123

poste mal die letzten drei Hops (Zeilen)... dann können wir's besser erklären

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#13 Hi dicon,

hier die letzten drei Zeilen:

17 347 ms 349 ms 349 ms 211.62.63.13
18 553 ms 559 ms * ms 211.62.33.4
19 348 ms 349 ms 417 ms 211.62.58.104

Ich hoff, sie helfen dir.

Gruss
Christoph

#14 *lool*... das ist aber ziemlich weit weg ... und leider auch nicht genauer zu ermitteln. Die IP's gehören alle zu Korea Telecom Hitel und sehen mir nach 'nem Provider ähnlich Telekom aus... Pech gehabt

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#15 Hi dicon,

danke für die Antwort.

Könntest du mir verraten, wie du das ermittelt hast?

Wär nett. :-)

Gruss
Christoph