Datum: 28. März 2009
Autor: Frank Dreßler, frank.dressler@rub.de

Windows XP SP2/SP3 behindert Portscanning
-----------------------------------------

Mit dem SP2 für Windows XP hat Microsoft einige
Beschränkungen eingeführt (siehe unten (1)), die
das Portscanning behindern.

1. Die Verwendung von Raw-Sockets wurde so beschränkt,
   dass damit keine SYN-Scans mehr möglich sind, denn um
   einen SYN-Scan durchführen zu können, muss man IP-Pakete
   in großen Teilen selbst erzeugen können, was wegen
   dieser Beschränkung mit Raw Sockets nicht mehr möglich ist.
   Laut heise (siehe unten (2)) ließ sich diese Be-
   schränkung noch bei SP2 abschalten, indem man den Befehl 
             net stop SharedAccess
   ausführt. Damit wird jedoch auch die in Windows
   enthaltene Firewall abgeschaltet. Auf Windows XP
   SP3 hat dieser Befehl bei mir nicht dazu geführt,
   dass SYN-scans mit nmap möglich waren.
   In neueren Versionen von nmap benutzt man Winpcap,
   um SYN-Scans wieder zu ermöglichen. Jedoch funktioniert
   das nicht immer. Daher sollte man mit Wireshark oder
   ähnlichen Werkzeugen überprüfen, ob der Rechner das ver-
   sendet, was er versenden soll.

2. Die Anzahl der gleichzeitigen Verbindungsaufbauversuche
   ist in Windows XP seit SP2 auf 10 beschränkt.
   Dies kann dazu führen, dass man keine oder nur wenige
   offene Ports findet, wenn man einen Portscan durchführt.
   Diese Beschränkung lässt sich durch eine Veränderung
   der Datei tcpip.sys entfernen. Dazu gibt es ein Programm,
   das einem dabei hilft, und das jeder verwenden kann,
   in dessen Land seine Verwendung legal ist. Wie man hört,
   funktioniert der Patch auch beim SP3.
   Er ist erhältlich auf:
        http://www.lvllord.de/


(1) http://www.microsoft.com/downloads/details.aspx?familyid=7bd948d7-b791-40b6-8364-685b84158c78&displaylang=en
	02_CIF_Network_Protection.DOC
(2) http://www.heise.de/security/Weitere-Fehler-in-SP2-Sicherheitsfunktion--/news/meldung/53306