-
Утилиты TCPView и AVZ показывают не все открытые порты
Проверка AVZ и TCPView дала перечень открытых портов. Однако на сайтах, например, h_t_tp://www.pcflank.com/ и h_t_tp://2ip.ru/, удалось обнаружить порт, который открыт, но который не был указан в перечне открытых портов. Как же тогда без дополнительных программ определить открытые порты, которые не определены этими программами?
Добавлено через 30 минут
А что за программа такая 2 ip Netmonitor?
Последний раз редактировалось Зайцев Олег; 03.01.2010 в 21:49.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Анекдот в тему: на экзамене по физике профессор спрашивает:
- что измеряет вольтметр ?
- вольты !
- а амперметр ?
- амперы !
- а что тогда измеряет авометр ?
- аво !
(в данном случае вместо авометра - сканер портов где-то в сети в сети, и что он показывает ...).
Возвращаясь от анекдота к суровой действительности ... для начала советую ознакомиться:
1. http://ru.wikipedia.org/wiki/%D0%9F%...%D1%82_(TCP/IP)
2. http://ru.wikipedia.org/wiki/%D0%A1%...82%D0%BE%D0%B2
Изучение этого материала приведет к пониманию того, что для того, чтобы приложение X начало "прослушивать порт", оно должно обратиться к операционной системе и сообщить ей о том, что приложение X желает прослушивать порт Y по протоколу Z. И далее одно из трех:
1. порт будет открыт, и будет значится в списке открытых портов, который можно запросить (что и делает TCPView, AVZ)
2. вариант 1, но факт прослушивания порта маскируется при помощи руткит-механизмов (маловероятно, но возможно ... равно как и то, что приложение само будет реализовывать обмен по TCP/UDP в обход системы - что тоже возможно, но очень маловеротяно)
3. система пошлет программу X и не даст ей открыть порт Y на прослушивание, так как у приложения X нет должных привилегий, порт Y уже прослушивается другим приложением и т.п.
Вывод - если некий порт действительно открыт, то он должен значиться в списке открытых портов в системе, если это не так - то или руткит, или глюк сканера.
Теперь возвращаемся к сканерам портов - по ссылке номер 2 из тех, что я дал выше есть небольшая статья о их принципах работы. Не дублируя ее скажу, что сканируя порты извне я никогда не получу с гарантией 100% достоверной картины по ряду причин, в частности ввиду того, что
- между сканером портов и сканируемым ПК будет длиннющий маршрут - сканирующие пакеты могут например потеряться .. или например многопоточное сканирование может перегрузить канал между сканируемым хостом и сканером)
- в дело может вклиниться ISP провайдер (с его NAT трансляторами, хитрой системой "серых IP", всякими "Firewall на стороне провайдера" и т.п.)
- картину может радикально плюс домашний роутер, если таковой есть (в такой ситуации порты будут сканироваться на роутере)
- программный Firewall и разные антихакеры/антисканеры в составе персонального Firewall (отдельного или в составе антивируса) на самом ПК.
- разные алгоритмы сканирования имеют разный уровень ошибок первого и второго рода (а алгоритмов много)
Потому сканер портов нередко или не видит открытых портов, или наоброт, ему мерещится что-то открытое, чего на самом деле нет (все зависит от конкретной ситуации, сканера и алгоритма сканирования и т.п.). Это так, "на пальцах" - на самом деле если рассматривать детельно - на пару статей текста будет - но общая идея в том, что показываемые неким сканером открытые порты - это совсем не догма.
Например, я посканировал на _http://www.pcflank.com свой ПК и чуть не помер со смеху читая его отчет - там был написан такой бред, что стало страшно (например, что у меня прослушивается аж 6 портов, принадлежащих разным троянам + порты 80 и 135-139). Это наглядная иллюстрация того, что мы возвращаемся к анекдоту о том, "а что же измеряет сканер портов"
Последний раз редактировалось Зайцев Олег; 03.01.2010 в 21:58.
-
-
Выходит, что"народные" сервисы вроде PcFlanc не годятся.
Последний раз редактировалось vladovs; 12.01.2010 в 17:45.