Tag: TCP

Posted on

Difference between Filtered vs Closed Ports

During nmap scans we found several times responses that say port closed and port filtered.

Example:

PORT      STATE    SERVICE
22/tcp    open     ssh
443/tcp   open     https
1024/tcp  filtered kdm
1084/tcp  filtered ansoft-lm-2
1863/tcp  filtered msnp
3128/tcp  open     squid-http
3333/tcp  filtered dec-notes
4900/tcp  filtered hfcs
9943/tcp  filtered unknown
30000/tcp open     unknown
38292/tcp filtered landesk-cba
40911/tcp filtered unknown
52673/tcp filtered unknown

If you get a response closed it means that the scanner is receiving a TCP reset packet.

If you do not get any response it means that the port is not available and thus changing the scan time that is required to fulfill the scan as the scanner needs to do more tests to make sure that there is no service available in the scanned port.

The best way to remove this information from your scan results is to use the option –open in the nmap. If we use it we will only get the results for open ports.

 

Posted on

TCP no Windows Vista & Windows 2008 Server

Bem para que ninguem fique a tentar fazer o que está no artigo Tunning Rede Windows XP, informo que o TCP foi redesenhado para estes sistemas e que este já inclui um conceito de Window-Auto Tunning.
Este conceito tem por base o anucio por parte dos parceiros de comunicação de um tamanho de janela inicial e que vai sendo ajustado “on the fly” dependendo da latencia e da velocidade da ligação. Esta nova implementação é muito mais eficiente por defeito do que as anteriores.

Os factores que são utilizados para o ajuste do tamanho de Janela TCP são:
Velocidade da Linha.
Latencia
“Application Delay” – > tempo que a aplicação demora a ir buscar informação á janela TCP.

Por defeito o windows também não deixa ter valores superiores a 16Mb.

Já agora para estimular o interesse podem ver como está o vosso TCP com o seguinte comando:

netsh int tcp show global
Posted on

Descodificar um Pacote TCP/IP (TCP apenas)

O TCP é a outra parte que vem agarrada ao protocolo IP. 🙂

O TCP é encontrado na segunda parte de uma frame TCP/IP.
No pacote anteriormente analisado no texto “Descodificar um pacote TCP/IP (IP Apenas) reparamos que o TCP é o pedaço assinalado a azul.

00 4f 4e 0e b2 45 00 1a 80 d8 43 ef 08 00 45 0000 28 5a b1 40 00 80 06 00 00 c0 a8 64 65 c0 a8 64 01 c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00

O pedaço assinalado em azul dá-nos conta de toda a informação sobre o TCP.

Os 2 primeiros bytes indicam a porta de origem (porta onde se iniciou o pedido).
c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00

c0 43 é em decimal 49219.

A porta de Destino é a:
c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00

1f90 = em decimal 8080 🙂 endereço de um proxy? 🙂

O numero sequencial que vem de seguida serve para controlar a fragmentação dos pacotes bem como a ordem porque eles são enviados…

c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00

O numero de reconhecimento, como sabem um computador quando acaba de receber uma sequência de pacotes tcp responde com um ack+1 relativamente ao pacote recebido. Este numero é indicado pelos seguintes bytes.

c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00

Depois vem o tamanho do cabeçalho: 5

c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00

As flags podem ser URG, ACK, PSH, RST, SYN, e FIN

c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00
Neste caso o 010 representa em binário 010000 e é uma flag tipo ACK.

O tamanho da janela vem de seguida,
c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00
Que em decimal representa cerca de 16425. Que representa o tamanho máximo que a origem consegue enviar.

O “checksun”
c0 43 1f 90 b0 d8 c2 30 ea 48 e1 3a 50 1040 29 49 d2 00 00 e por fim os 0000 que representa o ponteiro de urgência, certos pacotes podem passar á “frente da fila” e ser processados primeiro. a Flag URG indica que esses dados existem e o ponteiro indica a posição deles dentro da área de dados.