{"id":438,"date":"2007-12-28T23:50:31","date_gmt":"2007-12-28T21:50:31","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/438-24c3-port-scanning-improved"},"modified":"2018-05-31T16:46:45","modified_gmt":"2018-05-31T15:46:45","slug":"24c3-port-scanning-improved","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/438-24c3-port-scanning-improved","title":{"rendered":"24C3: Port Scanning improved"},"content":{"rendered":"<p>Fabs, einer der Mitarbeiter von FXs Firma hat <a href=\"http:\/\/events.ccc.de\/congress\/2007\/Fahrplan\/events\/2131.en.html\">einen neuen Portscanner<\/a> namens &#8222;PortBunny&#8220; entwickelt und vorgestellt. Dabei ist er clever und aggressiv das Problem von Nmap angegangen, bei Rechnern mit nur wenig offenen Ports sehr lange f\u00fcr den Portscan zu brauchen. Einfach nur mehr und schneller Anfragen zu senden ist dabei keine L\u00f6sung weil das Netz Pakete verwirft, wenn es \u00fcberlastet ist.<\/p>\n<p>Die Idee von Fabs ist dabei recht clever. Er streut in den Scanprozess alle paar gesendete Anfragen ein Paket ein von dem er wei\u00df, dass es eine Antwort erzeugt. Das kann z.B. ICMP Echo Request, ein ICMP-Fehler als Antwort auf ein UDP-Paket oder ein TCP-RST sein. Wenn diese Antworten nicht mehr zur\u00fcckkommen, dann sieht der Portscanner das Netz ist \u00fcberlastet und sendet seine Anfragen langsamer. Au\u00dferdem k\u00f6nnen die letzten Anfragen neu gesendet werden. Das Verfahren \u00e4hnelt in gewisser Weise der <a href=\"ftp:\/\/ftp.isi.edu\/in-notes\/rfc2581.txt\">TCP Congestion Control<\/a>.<\/p>\n<p>Mit dieser Technik ist PortBunny in der Lage, das Netz recht effizient auszulasten, insgesamt deutlich besser als <a href=\"http:\/\/insecure.org\/\">Nmap<\/a>. Allerdings erzeugen die Trigger ca. 10% zus\u00e4tzlichen Netzwerkverkehr. Source Code wurde keiner ver\u00f6ffentlicht, eventuell passiert das im Januar. Da sich PortBunny direkt im Linux-Kernel befindet (\/dev\/portbunny), muss, falls es ver\u00f6ffentlicht wird, zumindest das Modul unter der GPL ver\u00f6ffentlicht werden &#8230; naja, mal sehen.<\/p>\n<p>Insgesamt hat mich der Vortrag nicht sonderlich beeindruckt. Die Idee mit den Triggern ist zwar ganz clever, aber das h\u00e4tte man gut auch in Nmap integrieren k\u00f6nnen (und kommt vermutlich auch irgendwann da rein). Ansonsten ist der Scan lediglich schneller als bei Nmap (im g\u00fcnstigsten Fall so Faktor 2-10). Gegen die gro\u00dfen IPv6-Netze hilft das nur leider auch nicht. Wenn nicht gerade FX f\u00fcr den Vortrag gestanden h\u00e4tte (um seine Firma zu promoten?) h\u00e4tte es der Inhalt meiner Meinung nach wohl kaum ins Programm geschafft. Tja, so ist der Stand halt: keine Pr\u00e4sentationsslides, kein Source Code. Entt\u00e4uschend.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Fabs, einer der Mitarbeiter von FXs Firma hat einen neuen Portscanner namens &#8222;PortBunny&#8220; entwickelt und vorgestellt. Dabei ist er clever und aggressiv das Problem von Nmap angegangen, bei Rechnern mit nur wenig offenen Ports sehr lange f\u00fcr den Portscan zu brauchen. Einfach nur mehr und schneller Anfragen zu senden ist dabei keine L\u00f6sung weil das [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/438"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=438"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/438\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}