Никто не встречался с такой проблемой:
Поставил свежую FreeBSD-5.4-RELEASE, запретил запуск всего, что только может слушать сеть и просканировал машину XSpider-ом. Так вот, этот Спайдер говорит что на машине есть заблокированные портв - 21, 25, и 110.
Тогда на BSD запускаю tcpdump и с удивлением вижу, что машина отвечает на TCP запросы по этим портам, хотя, повторюсь, никаких сетевых служб (sendmail, ftpd и пр.) не запущено.
Никто не знает что за "барабашки" сидят на этих портах? Или это IP стек так работает?
P.S. на всякий случай прибивал syslogd, devd а проблема остается
>Никто не встречался с такой проблемой:
>Поставил свежую FreeBSD-5.4-RELEASE, запретил запуск всего, что только может слушать сеть и
>просканировал машину XSpider-ом. Так вот, этот Спайдер говорит что на машине
>есть заблокированные портв - 21, 25, и 110.
>Тогда на BSD запускаю tcpdump и с удивлением вижу, что машина отвечает
>на TCP запросы по этим портам, хотя, повторюсь, никаких сетевых служб
>(sendmail, ftpd и пр.) не запущено.
>Никто не знает что за "барабашки" сидят на этих портах? Или это
>IP стек так работает?
>P.S. на всякий случай прибивал syslogd, devd а проблема остаетсяsockstat -4
покажет привязку процессов к портам.
Я думаю в твоем случае надо в rc.conf:
sendmail_enable="NONE"
inetd_enable="NO"
лог tcpdump-а покажи
Еще раз повторю, что никаких sendmail, inetd, и прочих сервисов на машине не запущено. Даже syslogd прибиваю. Посуществу есть только ядро и getty на консолях.
Вот протокол tcpdump-а:
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 68 bytes
11:46:42.953120 IP (tos 0x0, ttl 128, id 13407, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
11:46:42.953193 IP (tos 0x0, ttl 64, id 4, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 221802141 win 0
11:46:43.401201 IP (tos 0x0, ttl 128, id 13585, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
11:46:43.401228 IP (tos 0x0, ttl 64, id 5, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 1 win 0
11:46:43.904134 IP (tos 0x0, ttl 128, id 13698, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
11:46:43.904190 IP (tos 0x0, ttl 64, id 6, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 1 win 0P.S. Поднял систему до текущего STABLE. Ничего не изменилось...
>11:46:42.953120 IP (tos 0x0, ttl 128, id 13407, offset 0, flags [DF], length: 48) 192.168.100.3.4042 > 192.168.100.70.110: S [tcp sum ok] 221802140:221802140(0) win 65535 <mss 1460,nop,nop,sackOK>
>11:46:42.953193 IP (tos 0x0, ttl 64, id 4, offset 0, flags [DF], length: 40) 192.168.100.70.110 > 192.168.100.3.4042: R [tcp sum ok] 0:0(0) ack 221802141 win 0
ну а ман посмотреть на предмет того, что означает буковка R
пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать, чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).
>ну а ман посмотреть на предмет того, что означает буковка R
>пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать,
>чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).
>
Вопрос не в этом. Вопрос - почему ядро отвечает только на эти три порта(21,25,110), а на остальные вообще молчит? Как по мне - так это похоже на backdoor какой-то... Ведь на другие порты tcpdump ничего не показывает
>>ну а ман посмотреть на предмет того, что означает буковка R
>>пытаешься залезть на неоткрытый порт - он отвечает RST пакетом. можно сделать,
>>чтобы не отвечал - sysctl net.inet.tcp.blackhole=2 (эта переменная для 4 ветки).
>>
>Вопрос не в этом. Вопрос - почему ядро отвечает только на эти
>три порта(21,25,110), а на остальные вообще молчит? Как по мне -
>так это похоже на backdoor какой-то... Ведь на другие порты tcpdump
>ничего не показываетПросили же показать sockstat -4l
>Просили же показать sockstat -4l
Пусто там - нету ничего!!!
>Просили же показать sockstat -4l
А в netstat только файловые сокеты:Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 *.22 *.* LISTEN
Active UNIX domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
c1319000 stream 0 0 c131a108 0 0 0 /var/run/devd.pipe
c1318a64 dgram 0 0 0 c1318e38 0 c1318c94
c1318c94 dgram 0 0 0 c1318e38 0 0
c1318e38 dgram 0 0 c130b528 0 c1318a64 0 /var/run/logpriv
c1318ec4 dgram 0 0 c130b630 0 0 0 /var/run/log
>Вопрос не в этом. Вопрос - почему ядро отвечает только на эти
>три порта(21,25,110), а на остальные вообще молчит? Как по мне -
>так это похоже на backdoor какой-то... Ведь на другие порты tcpdump
>ничего не показываетВидимо только на эти порты идут запросы. ;)
>Видимо только на эти порты идут запросы. ;)Угадал!;-)
P.S. внимательно прочитай начало темы!!!
>>>Вопрос - почему ядро отвечает только на эти
>>>три порта(21,25,110), а на остальные вообще молчит?>>Видимо только на эти порты идут запросы. ;)
>Угадал!;-)
>P.S. внимательно прочитай начало темы!!!Прочитал, в итоге имеем (поправь если где ошибся):
1) Ни один сокет не открыт на нашей машине.
2) Кто-то пытается установить соединение на нашу машину (установленно из tcpdump). Так же из tcpdump видно, что на SYN сегмент наша машина отвечает RST сегментом (что верно, см. RFC-793 p.36).Так где вопрос?
P.S. Кстате sockstat'а мы так и не дождались, а ведь открыт как минимум tcp:22. ;)
человек проверил XSPiderom, тот, поди, проверяет только конкретный набор портов, на которые ему вернулся RST пакет, он посчитал, что порты открыты, тока firewall их прикрывает. Видимо отсюда и вылез вопрос. Ты попробуй слушать tcpdumpом какой нить левый порт, типа 666, а с соседней тачки сделать telnet на 666 порт, и ДОЛЖЕН увидеть, такую же картинку, т.е. ответы RST пакетами.