2008-03-15

[en] Nessus 3.2 is out!

Nessus 3.2 was announced on 2008-03-12. It contains many improvements for which I have no responsibility, and a new version of nessus_tcp_scanner.
  • Simplified options
    • Two former boolean options (and a new one that was not seen by anybody but me) were merged into a single Firewall detection four level cursor:
      • Disabled
      • Do not detect RST rate limitation
      • Normal / automatic
      • Ignore closed ports
    • Congestion detection was removed, it is now hidden in nessusd.conf
    • Scan ports in random order is still here, although I don't think that many people will ever touch it.
  • Unfiltered ports are regularly probed.
    I added that first to get a better RTT (ping time) estimation; this is a crucial parameter for a userland TCP scanner. This feature is also (mainly?) used now to detect congestion.
    This piece of code works on any OS and is more sensitive than the previous kernelland (Linux only) detector -- I don't criticize the Penguin, I'm still amazed that this kernelland detector works with a such a psychotic software; portscan is definitely not a "normal" use of a TCP/IP stack.
    As the detector detects rather well, I slightly increased the aggressivity of the cyber-monster.
    I hope that very slow links can now be scanned in a reasonable time without being overloaded even in hellish conditions (lost packets, long & changing RTT), at worst by using the most cautious parameters:
    • safe_checks=1
    • max_checks=1
    • Firewall detection=Disabled
To avoid interminable scans (they do not make much sense), the scanner gets restless after 40 minutes (default value). At the first timeout, it moves the aggressivity cursor to the fourth choice (ignore closed ports), at the second, it stops at the end of the current phase, at the third, it does sepuku at once.
Finally, for the ones who are eager to shoot themselves in the foot, here are a few hidden option from nessusd.conf, with their default values:
  • nessus_tcp_scanner.send_regular_probes=yes
  • nessus_tcp_scanner.unlimited_rtt=no
  • nessus_tcp_scanner.portscan_timeout=2400
  • use_kernel_congestion_detection=no (was "yes" en 3.0 et 3.1)
  • stop_scan_on_disconnect=yes
  • nessus_tcp_scanner.max_pass=16

Labels: ,

posted by M.A. at 17:08 0 comments

2008-03-12

[fr] Nessus 3.2 est sorti!

Nessus 3.2 est sorti le 12/03/2008 et outre moult améliorations dans lesquelles je n'ai pas trempé because closed source, il inclut une nouvelle version de nessus_tcp_scanner.
  • Préférences simplifiées
    • Deux anciennes options booléennes (et une nouvelle que personne n'a jamais vue) ont été fusionnées en un seul curseur Firewall detection, qui offre 4 niveaux:
      • Disabled
      • Do not detect RST rate limitation
      • Normal / automatic
      • Ignore closed ports
    • Congestion detection a été supprimée, elle est maintenant cachée dans nessusd.conf
    • L'option Scan ports in random order reste, bien que je ne sois pas sûr que grand monde la touche.
  • Les ports non filtrés sont régulièrement sondés.
    J' avais ajouté ça dans un premier temps pour obtenir une meilleure estimation du RTT (ping time), paramètre crucial pour un TCP scanner en userland. On s'en sert aussi (surtout?) pour détecter la congestion.
    Ce code marche sur tous les OS et est plus sensible que le détecteur kernelland de Linux précédemment utilisé (ne critiquons pas le pingouin, que ce détecteur kernel fonctionne avec un logiciel aussi psychopathe qu'un portscanner est miraculeux).
    Le détecteur détectant bien, j'ai un peu lâché la bride du monstre.
    J'espère que les liens très lents pourront être scannés en un temps raisonnable sans être surchargés même dans des conditions infernales (pertes de paquets, RTT important et fluctuant), en mettant les paramètres au minimum dans le pire des cas:
    • safe_checks=1
    • max_checks=1
    • Firewall detection=Disabled
Pour éviter les scans interminables, qui n'ont pas grand sens, le scanner s'impatiente au bout d'un temps de 40 min par défaut. Au premier coup de gong, il pousse le curseur d'agressivité à fond, au second, il termine la passe en cours et s'arrête, au troisième, il fait sepuku immédiatement.
Enfin, pour ceux qui ont envie de se tirer dans le pied, la bête offre quelques options cachées dans nessusd.conf, dont voici les valeurs par défaut:
  • nessus_tcp_scanner.send_regular_probes=yes
  • nessus_tcp_scanner.unlimited_rtt=no
  • nessus_tcp_scanner.portscan_timeout=2400
  • use_kernel_congestion_detection=no (c'était "yes" en 3.0 et 3.1)
  • stop_scan_on_disconnect=yes
  • nessus_tcp_scanner.max_pass=16

Labels: ,

posted by M.A. at 23:50 0 comments

2008-03-05

[en] Crude port scanner

It takes less than 2 pages of code, and on a LAN, it is quick and reliable. On a WAN, it is brutal, not very reliable, but not so awful. Writing a smart portscanner is nothing but a waste of time...

Labels: ,

posted by M.A. at 00:35 0 comments

[en] Real men don't scan

Portscan is for the weak users who cannot open 65535 sockets at once.
You'll probably need to be root to run this. And you'd better check that you have enough file descriptors on your operating system.

Labels: ,

posted by M.A. at 00:27 1 comments