GlockMane88 schrieb:
Ich meinte folgenden Output wenn ich einen Intense Scan mit nmap durchführe:
Discovered open port 53/udp on 12.34.56.78
Discovered open|filtered port 53/udp on 78.56.34.12.in-addr.arpa (12.34.56.78) is actually open
Das verwirrt mich, wenn ich nur nach dem UDP Port 53 scanne, kommt nur "open|filtered"..
Wenn
netstat -ano keinen Dienst zeigt, der auf UDP 53 lauscht (Status/State = ABHÖREN/LISTENING), dann ist da auch keiner und es kann auch keiner als "open" gefunden werden. Zeigt nmap bei verschiedenen Scans unterschiedliche Ergebnisse, kann man dies als falsch-positiv betrachten. Denn wie gesagt: Wo kein Dienst, da kein offener Port.
Es kann auch sein, dass womöglich der Hoster bei den false positive die Finger im Spiel hat und hier eine DDoS-Protection, o.ä. greift, die von nmap als offener Port interpretiert wird. UDP ist verbindungslos, es gibt also kein reguläres Handshake beim Verbindungsaufbau wie bei TCP. Folglich kann gewissermaßen
jede Antwort als offener Port angesehen werden, auch wenn da womöglich irgendwelche Schutz-Deny-Antworten vom Hoster kommen bevor sie deinen Server überhaupt erreichen.
Lass doch auf deinem Server und deinem Testsystem WireShark/tcpdump laufen und schau nach was da auf UDP 53 passiert. Wenn beim Server nix ankommt, wird es vom Hoster schon rausgefiltert. Wenn aber
trotzdem eine Antwort beim Testsystem eintrudelt, stammt sie nicht von deinem Server.
Da UDP 53 von DNS genutzt wird, ist dieser Port nämlich durchaus unter Beobachtung, weil man mit
Open DNS Resolvern ziemlich hässliche
DNS Amplification Attacks durchführen kann, die mit einem Faktor ~50 eine enorme Effizienz haben (1 Mbit/s Upload-Traffic beim Angreifer = 50 Mbit/s Download-Traffic beim Opfer). Das geht dann auch so weit, dass man zB mit einem offenen und ungeschützten (Stichwort: Rate limit) pihole, o.ä. sogar Post von der BundesNetzAgentur bekommen kann, weil Open DNS Resolver wirklich böse sein können.
