Nmap Printout ?

rav · 25 sep 2006, 13:09

Hey hey ,
Heb zonet een printout gemaakt van een nmapscan naar een gegeven telenet adres. Dit bekwam ik wanneer ik een scan deed naar SUBnet MACaddress Scan naar mijn eigen IPadress.
Ik krijg een volledige range van ipadressen : 81.83.20.1 -81.83.20.255
Bij verschillende adressen staat een MAC adress ; eentje is mijn IpAdress met bijhorend MAC adress.

De andere Ipadressen beginnen allen dus ook met 81.83.20.xxx
en hebben één specifiek MACadress gemeen.

Wanneer ik nu een Nmap -O naar een willekeurig bijhorend Ipadress uitvoer krijg ik volgende print out :
let op de regel : port 27374/tcp SubSeven en 31337/tcp Elite !!!

<IMG SRC="http://users.telenet.be/_nomad/print.JPG">

Ben een leek in deze zaken , een beetje inzicht zou van harte zijn !
Ben ik gehacked ?

Styno · 25 sep 2006, 14:12

Neen, port is filtered, waarschijnlijk firewall op isp niveau (of bij jou) die die ports uit voorzorg alvast toezet.
(ps. enkel eigen netwerk en eigen machines. En derbij, zet eens een aantal ***-jes over IP en dns records in je post)

rav · 25 sep 2006, 16:16

Styno schreef:Neen, port is filtered, waarschijnlijk firewall op isp niveau (of bij jou) die die ports uit voorzorg alvast toezet.
(ps. enkel eigen netwerk en eigen machines. En derbij, zet eens een aantal ***-jes over IP en dns records in je post)

Wat ik eigenlijk niet begrijp is et volgende : waarom hebben zoveel verschillende Ip adressen het zelfde Mac Adress ?
En ja , waar moet ik *** zetten - sorry bij deze ..?

gedeco · 25 sep 2006, 16:29

rav schreef:
Styno schreef:Neen, port is filtered, waarschijnlijk firewall op isp niveau (of bij jou) die die ports uit voorzorg alvast toezet.
(ps. enkel eigen netwerk en eigen machines. En derbij, zet eens een aantal ***-jes over IP en dns records in je post)

Wat ik eigenlijk niet begrijp is et volgende : waarom hebben zoveel verschillende Ip adressen het zelfde Mac Adress ?
En ja , waar moet ik *** zetten - sorry bij deze ..?

In principe kan men aan één interface (dus een netwerkkaart) meerdere ip adressen toekennen. Het omgekeerde is niet toegestaan.

Styno · 25 sep 2006, 17:06

rav schreef:Wat ik eigenlijk niet begrijp is et volgende : waarom hebben zoveel verschillende Ip adressen het zelfde Mac Adress ?

Die Riverdelta toestanden zullen cablemodems zijn ofzo. Mischien hebben die bijna allemaal hetzelfde MAC. Bel eens naar Telenet

rav schreef:En ja , waar moet ik *** zetten - sorry bij deze ..?

IP en DNS in je nmap command line en output.

rav · 25 sep 2006, 17:35

Styno schreef:
rav schreef:Wat ik eigenlijk niet begrijp is et volgende : waarom hebben zoveel verschillende Ip adressen het zelfde Mac Adress ?
Die Riverdelta toestanden zullen cablemodems zijn ofzo. Mischien hebben die bijna allemaal hetzelfde MAC. Bel eens naar Telenet

rav schreef:En ja , waar moet ik *** zetten - sorry bij deze ..?
IP en DNS in je nmap command line en output.

ok - was het niet dat MAC adrs van modems allen verschillen ?
Als ik de Nmap Mac adr lookup doe , vind ik bij mijn eigen ipdress een mac adrs ,dat verschilt van het HFC mac adress dewelk ik nodig heb voor het resetten van mijn account.

thx alvast - ps : ik neem de printout weldra weg - hopelijk heb ik er niemand bij geschaad .

Styno · 25 sep 2006, 17:48

Geen idee welk MAC je te zien krijgt bij Telenet.
Die van de Firewall / Cablemodem (bridge) / Cablemodem management machine (of hoe het ook mag noemen) of eigen netwerkkaart.

Ps: met "ipconfig /all" kan je je eigen MAC vinden van je netwerkkaart.

rav · 26 sep 2006, 00:16

Styno schreef:Geen idee welk MAC je te zien krijgt bij Telenet.
Die van de Firewall / Cablemodem (bridge) / Cablemodem management machine (of hoe het ook mag noemen) of eigen netwerkkaart.

Ps: met "ipconfig /all" kan je je eigen MAC vinden van je netwerkkaart.

vermoedelijk van men niu , maar ik heb de indruk dat die op één of andere manier is gehacked .

als ik een tracert doe naar een willekeurig ip adrs.. dan ga ik eerst via een server 10.7X.1X.2X - en vervolgens , de 2e hop is dan : D5ATEe.... - die van telenet.

Ik heb regelmatig scans gedaan gehad , maar dit heb ik nog nooit voorgehad . Ze hebben me al een gezegd dat het kan zijn dat er een Arp tabel niet juist is , en dat ie nie goed geconfigged is - van wat , de modem of de netwerkkaart ?

ubremoved_539 · 26 sep 2006, 14:49

rav schreef:Wat ik eigenlijk niet begrijp is et volgende : waarom hebben zoveel verschillende Ip adressen het zelfde Mac Adress ?

Omdat oa. een router en ook de TN modem het MAC adres vervangt door zijn eigen MAC adres zodra je pakketje verzonden wordt. Je kan dus nooit een MAC adres zien achter een router, vandaar dat een MAC adres ook enkel maar uniek moet zijn per routable segment (en zo heb je meteen ook de reden waarom je MAC adressen kan klonen zonder problemen te krijgen).

Concreet ga je dus het MAC adres zien van je TN modem, dat van je eigen PC, en eventueel andere PC's op je eigen LAN.

En als laatste... je PC is zo hacked als maar kan zijn

rav · 26 sep 2006, 17:45

Ok - thx voor de info
En als laatste... je PC is zo hacked als maar kan zijn

[/quote]

Moet ik me ergens zorgen om maken ?

26 sep 2006, 18:04

Surf naar https://www.grc.com/x/ne.dll?bh0bkyd2 en laat jezelf daar eens poortscannen. Als je rode blokjes hebt op poorten waar je het niet van verwacht ... dan heb je een probleem.

rav · 26 sep 2006, 20:31

meon schreef:Surf naar https://www.grc.com/x/ne.dll?bh0bkyd2 en laat jezelf daar eens poortscannen. Als je rode blokjes hebt op poorten waar je het niet van verwacht ... dan heb je een probleem.

thx kerel - btw , ik heb ook bij jou id buurt gewoond !

gedeco · 26 sep 2006, 22:13

meon schreef:Surf naar https://www.grc.com/x/ne.dll?bh0bkyd2 en laat jezelf daar eens poortscannen. Als je rode blokjes hebt op poorten waar je het niet van verwacht ... dan heb je een probleem.

grc is al portscansite niet slecht, maar neem asjeblieft hun adviezen met een serieus korreltje zout. Volg hun adviezen niet klakkeloos op, vraag raad aan anderen.

Een van hun oudbollige adviezen die een eind geleden in in ander forum opdook: disable ping replies zodat hackers je niet vinden.
For the record: hackers gebruiken allang andere technieken.

Sommige mensen vonden het nodig op deze adviezen te reageren
http://grcsucks.com/

rav · 27 sep 2006, 01:09

iemand enig idee waar ik "het onderste deel" vd cmdshell-print mee kan vertalen of me de ruwe lijnen kan geven wat ik hieruit kan besluiten ?
(Het gedeelte dat begint met Sinfo -> tot einde .)

Styno · 27 sep 2006, 08:26

Is een TCP fingerprint (verbose mode).
Mischien toch maar eens de documentatie / website erop naslaan.

rav · 27 sep 2006, 10:58

Styno schreef:Is een TCP fingerprint (verbose mode).
Mischien toch maar eens de documentatie / website erop naslaan.

ja idd , ik ga de doc's maar eens zoeken. Iemand eventueel een nuttig vademecum ivm netwerkbeheer ?? waar "the essentials" in staan ?

[/quote]

ubremoved_539 · 28 sep 2006, 14:38

rav schreef:Moet ik me ergens zorgen om maken ?

Netbus, SubSeven, ... zorgen om maken, maar nee

Het kan natuurlijk altijd dat één of ander onschuldig tooltje dezelfde poort gebruikt, maar als ik jou was zou ik me meer dan zorgen maken !

gedeco · 28 sep 2006, 21:56

r2504 schreef:
rav schreef:Moet ik me ergens zorgen om maken ?
Netbus, SubSeven, ... zorgen om maken, maar nee

Het kan natuurlijk altijd dat één of ander onschuldig tooltje dezelfde poort gebruikt, maar als ik jou was zou ik me meer dan zorgen maken !

Euh mis ik iets?

Netbus: Filtered
Subseven: Filtered

Dit betekent dat er een firewall rule actief is op deze poorten.

Een en ander wordt duidelijker met de manual van nmap
http://insecure.org/nmap/man/

Filtered means that a firewall, filter, or other network obstacle is blocking the port so that Nmap cannot tell whether it is open or closed.

Met andere woorden de poort reageert helemaal niet. geen rejects, helemaal niets. nada antwoord.
Een open of een closed port geven wel een antwoord dat door nmap word gedetecteerd. Read the Fine Manual.

Indien nmap geen antwoord krijgt, dan zeker de netbus client niet die op aplication level werkt.

Dus niets om je zorgen over te maken, zoals iemand anders al terecht opmerkte.

Voor de ongelovigen
http://www.sans.org/resources/idfaq/what_is_nmap.php
Hier vindt je hoe netbus of backorrifice kan gedetecteerd worden met nmap.

revised · 13 dec 2006, 09:57

als je nieuw bent bij telenet registreer je jezelf via je mac-adres van je KABELmodem, met andere woorden dit mac-adres is uniek binnen de telenet database.

Dit wil gewoon zeggen dat telenet aan layer 3 (of mss zelfs layer 2) monitoring doet in het OSI-model (google als je wil weten wat dat is).

Aangezien telenet provider is, en dus controle heeft over de routers, kan men ook verkeerde informatie doorsturen naar de al dan niet malafide klant, in dit geval jij. Dit kan gaan tot en met het sturen van verkeerde MAC-adressen, dit omwille van het simpel feit dat telenet zelf de traffic regelt. Als jij naar a.b.c.d wil gaan binnen het netwerk van telenet, dan wordt dit omgezet door telenet zijn routers, indien telenet dit wil kan men verkeerde mac-adressen doorsturen, 99% van het internet verkeer gebruikt namelijk het TCP/IP-protocol dat geen rekening houdt met MACadressen.

Zie je waar ik naartoe ga?

Om zijn klanten te beschermen van malafide andere klanten zal telenet mogelijk verkeerde informatie doorsturen.

Als er maar 3 of 4 mensen dezelfde mac hebben dan is dat gewoon een abbo voor 3 of 4 computers, indien een hele subnet dezelfde mac heeft kan je er vanuit gaan dat telenet je verkeerde informatie doorstuurt.

lithion · 13 dec 2006, 12:50

Telenet stuurt niks verkeerd door hoor. Ook uw bewering dat 99% van het internet tcp/ip is, is totaal verkeerd. Internet is 100 % IP (een laagje lager dan uwen tcp/ip).

De enige reden waarom je bij het afscannen van IP's hetzelfde MAC-adres ziet, is omdat routers IP verwerken en geen ethernet ed. Ook modems kunnen MAC's verwisselen. Bij Telenet wordt het MAC-adres van je PC vervangen door het MAC-adres van je modem. Vervolgens geeft telenet het MAC-adres van je modem toestemming om op het netwerk te mogen.

@revised: meer googlen