Kleine Gemeinheiten

Das File portspoof.conf lässt sich mit Signaturen und gar Exploits füllen, die Portspoof dann ausliefert, sobald eine Gegenstelle einen bestimmten Port oder Port-Bereich abfragt. Die Angabe der Signaturdatei würde in der Regel bereits genügen; die portspoof.conf brauchen Sie nur, um für ausgewählte Ports genau festgelegte Rückmeldungen auszugeben.

In der portspoof.conf geben Sie zeilenweise an, für welchen Port der folgende Inhalt ("Payload") gedacht ist. Beim Payload kann es sich um einfache ASCII-Wörter handeln, aber auch um hexadezimale Zeichenangaben oder reguläre Ausdrücke. Sogar Exploits lassen sich zurückliefern (Vorsicht: siehe Kasten "Computersabotage"). Die vorgegebene portspoof.conf hat der Portspoof-Entwickler gut kommentiert, sodass es wenig Mühe bereitet, sie um eigene Mitteilungen und Nettigkeiten zu ergänzen.

Computersabotage

Der Paragraf 303b des deutschen Strafgesetzbuchs sanktioniert unter dem Titel "Computersabotage" das Übermitteln von Daten "mit der Absicht, einem anderen Nachteil zuzufügen", mit Freiheitsstrafen von (im Extremfall) bis zu 10 Jahren. Daher sollten Sie der Versuchung, mittels Portspoof Exploits an anfragende Rechner auszuliefern, lieber widerstehen.

Die Legalität von Portscans per se ist zwar umstritten, da diese bei einer massenhaften Portabfrage so gut wie immer der Angriffsvorbereitung dienen. Zudem können viele Verbindungsanfragen durchaus die Verfügbarkeit eines Rechners herabsetzen und damit selbst unter §303b StGB fallen.

Einzelne Port-Anfragen jedoch sind völlig legitim und für eine Verbindungsaufnahme in vielen Fällen erforderlich, sodass es wenig Sinn ergibt, sie grundsätzlich als Attacke zu werten und mit einem "Gegenschlag" darauf zu antworten. (jlu)

Damit ist der Spaß für die Gescannten noch lange nicht vorbei: Piotr Duszynski scheint Portspoof unter dem Motto entwickelt zu haben, dass für Angreifer nichts gemein genug ist, und baute daher zusätzlich mehrere Fuzzing-Funktionen ein. Diese ähneln dem schon erwähnten Ausliefern von Signaturen oder Payloads. Sie unterscheiden sich davon jedoch dadurch, dass sie mehrere der in den Dateien angegebenen Payloads an einzelnen Ports zurückliefern oder dass Portspoof gar bei Abfragen völlig willkürliche Payloads generiert.

So macht der Aufruf portspoof -f /Pfad/zu/rotkaeppchen.txt -D den Scanner mit dem beliebten Märchen Rotkäppchen bekannt (Abbildung 3), während portspoof -1 -D zufällige Signaturen erzeugt (Abbildung 4).

Abbildung 3: Zur Abwechslung lassen sich Portscanner mit Rotkäppchen einlullen …
Abbildung 4: … oder mit einer Ladung Zufallszeichen zumüllen.

Ein dritter Fuzzer lässt sich aktivieren, indem Sie neben -1 oder -f /Pfad/zu/text.txt mit -n /pfad/zu/signaturen.txt eine Signaturdatei einbinden. Jetzt liefert Portspoof nicht nur unterhaltsame, lehrreiche oder wild zusammengewürfelte Payloads aus, sondern mischt auch noch Dienstesignaturen unter, die sich tatsächlich in der freien Wildbahn antreffen lassen (Abbildung 5).

Abbildung 5: Einzelne Gemeinheiten lassen sich mithilfe von Portspoof auch kombinieren.

Indem Portspoof willkürliche oder vordefinierte Signaturen und Payloads zurückliefert, bremst es Netzwerkscanner erheblich aus. Nur mit der Service-Emulation betrug im Test die Zeit für einen Scan über den kompletten Port-Bereich knapp zehn Stunden, ohne Portspoof wäre er in etwas mehr als 90 Sekunden erledigt gewesen (Abbildung 6). Bringen Sie noch Fuzzing ins Spiel, muss ein Angreifer noch einmal spürbar mehr Geduld aufbringen: Ein Scan über sämtliche Ports kann dann durchaus 30 Stunden und länger währen.

Abbildung 6: Der Portscanner Nmap brauchte knappe zehn Stunden, um den vollständigen Portbereich zu scannen, wenn Portspoof im Service-Emulations-Modus lief. Normalerweise erledigt Nmap einen derartigen Scan in ein bis zwei Minuten.

Weitere Funktionen

Neben den schon beschriebenen Funktionen können Sie Portspoof auch noch anweisen, erkannte Scans zu protokollieren. Dazu geben Sie beim Start den Parameter -l /Pfad/zur/Log-Datei an. Nötig ist das nicht unbedingt, denn standardmäßig protokolliert die Anwendung sämtliche Aktivitäten in der /var/log/syslog. Um hier Ressourcen zu sparen, lässt sich das Syslog-Logging mit dem Parameter -d ausschalten.

Mit den Parametern -p Port und -i IP legen Sie Port und IP-Adresse fest, an denen Portspoof Anfragen entgegennehmen soll. Um Portspoof beim Systemstart automatisch mitzuladen, liefert Piotr Duszynski auch ein Init-Skript mit, das im Quelltextordner im Verzeichnis system_files liegt. Sie müssen die dort lagernde Datei portspoof.sh eventuell noch anpassen und auf jeden Fall in das passende /etc/rcRunlevel.d-Verzeichnis kopieren. Gewöhnlich startet Portspoof mit Service-Emulation und angepassten Payloads.

Meistens läuft Portspoof problemlos, als noch recht junges Programm wurde es aber noch nicht in allen Kombinationen und Facetten hinreichend getestet. Beispielsweise stürzte es in unserem Test beim Fuzzing mit Rotkäppchen und Signaturen wiederholt ab, während es mit zufälligen Payloads und Dienstesignaturen problemlos seine Arbeit verrichtete. Hier bietet es sich an, einen Cronjob aufzusetzen, der regelmäßig prüft, ob der Daemon noch läuft, und gegebenenfalls den Admin benachrichtigt sowie Portspoof neu startet.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Heft-DVD-Inhalt 02/2014
  • Nachgeladen
    Dem Linux-Paketfilter Iptables fehlt eine einfache Möglichkeit, die Filterregeln nach einem Systemneustart automatisch zu laden. Die lässt sich aber durchaus nachrüsten – sogar auf mehreren Wegen.
  • Feuerfest
    Steht dem PC das Tor zum Internet offen, sollte man einen Wächter engagieren, der unerwünschte Gäste draußen hält. Iptables ist solch ein qualifizierter Türsteher.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Klopf, klopf
    Rechner mit Internetzugang gilt es, gegen Angreifer abzusichern. Eine ebenso faszinierend einfache wie auch effiziente Barriere schafft ein Portknocker.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

EasyBCD/NeoGrub
Wolfgang Conrad, 17.12.2017 11:40, 0 Antworten
Hallo zusammen, benutze unter Windows 7 den EasyBCD bzw. NEOgrub, um LinuxMint aus einer ISO Dat...
Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...