|
| |
informazioni scaricate qua e la dalla rete.
|
Chi è che bussa al
mio computer?
di Andrea Ciarrocchi [email protected]
Netstat è un programma che permette di ottenere informazioni sulle
connessioni in corso rivelandoci se qualche estraneo si è inserito
nella nostra macchina. Vediamo il funzionamento di questa utilità e il
suo punto debole
Il programma Netstat, presente su ogni piattaforma che opera in rete,
costituisce una risorsa preziosa in quanto è in grado di visualizzare
informazioni sulle connessioni di rete: rilevando il protocollo su cui
si basano (Tco o Udp), l'indirizzo locale, quello remoto e lo stato
della connessione stessa. Esamineremo il significato di ognuna di queste
voci, oltre alle opzioni con cui l'applicazione può essere lanciata dal
prompt dei comandi. Anche se l'attenzione è rivolta alla versione
fornita da Windows, le nozioni sono generalmente valide per ogni
sistema: i dettagli che contraddistinguono le varie implementazioni di
questo programma sono infatti minime. Infine cercheremo di mettere in
luce i suoi punti deboli, se usato come strumento d'analisi sulla
sicurezza dei computer.
Indirizzi e porte
Un server può offrire molteplici servizi (invio e gestione posta, Web
etc.), ma come fa a sapere di quale i client vogliano di volta in volta
usufruire? Il "trucco" è quello di associare a ogni servizio
disponibile una specifica porta, le cui caratteristiche sono ben
definite, assieme alle descrizioni dei protocolli, in diverse
documentazioni tecniche reperibili su Internet, come ad esempio le Rfc
reperibili su ftp.ripe.net.
La porta è un numero a 16 bit, compreso fra 0 e 216 , ossia 65.535, (le
cosiddette well-knows ports). Quelle associate a un servizio standard
devono essere comprese fra i valori 0 e 1023. Il resto del range
disponibile (da 1024 a 65.535) è sfruttato per stabilire altre
eventuali connessioni. Quando ad esempio si naviga sul Web, il
navigatore interroga il server sulla porta 80 e richiede le pagine
corrispondenti ai link su cui l'utente clicca. Le risposte saranno
indirizzate al client, il computer dell'utente, su una porta casuale,
superiore a 1023. Un analogo discorso vale per qualunque programma che
scambia dati con un server. Il file "services", posto nella
cartella di Windows, mostra i servizi disponibili e le relative porte.
Leggere Netstat
Per ottenere le informazioni sulle connessioni in corso basta
semplicemente digitare "netstat" dal prompt dei comandi, ossia
cliccare su avvio, esegui e quindi scrivere netstat. Saranno
visualizzate quattro colonne: "Proto", "Indirizzo
locale", "Indirizzo remoto", "Stato". La prima
indica il protocollo su cui si basa la connessione e può assumere i
valori tcp o udp. Il Tcp garantisce che i dati non vadano persi lungo il
percorso, perciò è largamente impiegato laddove l'affidabilità è
fattore di vitale importanza. Si preferisce l'Udp quando vi è la
necessità di una connessione veloce (ad esempio durante le trasmissioni
di stream audio/video), benché spesso questa differenza sia più
teorica che reale. Nel campo "indirizzo locale" appare il
proprio Ip o il nome host locale. L'indirizzo Ip è una specie di
"targa" che identifica in maniera univoca un host.
Connettendosi alla Rete via telefono con un modem se ne ottiene uno
dinamico, diverso ad ogni collegamento, mentre i server ne possiedono
uno statico. I nominativi sono posti nella forma indirizzo:porta. Lo
stesso vale per il campo "Indirizzo remoto" Quando la porta e
host non sono ancora definiti, compaiono rispettivamente un asterisco o
l'indirizzo fittizio 0.0.0.0 al loro posto. Se ad esempio
un'applicazione è in ascolto su una porta, ossia è in attesa di
connessioni, ovviamente l'indirizzo remoto non può essere già noto.
Immaginiamo di lanciare Netstat mentre si scarica la posta: nella
tabella 1 si vede quello che può apparire a video. Nella terza colonna
è riportato l'elenco dei server cui si è connessi. Le porte 25 e 110
(invio e ricezione posta) segnalano connessioni ai servizi Smtp e Pop3,
ossia a quelli dell'invio e della ricezione delle email. Allo stesso
modo, grazie a Netstat si possono controllare eventuali connessioni
sospette, spie della possibile presenza di una backdoor, una porta di
servizio aperta clandestinamente per "controllare" in qualche
modo il nostro Pc. Molti di questi "troiani", se non
specificato altrimenti dal "pirata", usano una porta
predefinita: così, quando una di queste è aperta, si può sospettare
lecitamente di essere l'ospite inconsapevole di una di queste presenze
indesiderate. Un elenco di queste porte lo si può trovare suwww
Infine, la quarta colonna indica lo stato attuale della connessione e può
assumere i valori riportati nella tabella di questa pagina.
Netstat può essere lanciato con diverse opzioni che devono essere
scritte, con uno spazio nel prompt dei programmi, come ad esempio
netstat -a.
Nella tabella 3 sono elencate le diverse opzioni di Netstat.
Netstat, sebbene utile anche per monitorare connessioni sospette, non è
infallibile. E' infatti possibile "fondere" (tramite Silkope o
programmi analoghi) backdoor con altri software, aventi proprio il
compito di eliminare l'Ip del pirata dalla lista. Il metodo più
semplice è la sostituzione di Netstat con una versione appositamente
scritta per filtrare a piacimento ciò che appare a video. Il listato
nella tabella 4, composto di poche righe di C, ad esempio, è in grado
di nascondere le connessioni alla porta 1234.
Ottenuto il nome della cartella in cui è installato il sistema
operativo (solitamente "c:\windows") tramite la chiamata alla
funzione GetWindowsDirectory, il programma esegue "pippo.exe",
che è il vero netstat, rinominato e spostato nella directory radice (di
norma "c:\"). Un indizio a destare sospetto è l'aumento del
tempo necessario all'esecuzione, dovuto alla funzione Sleep, che attende
due secondi prima di recuperare e filtrare l'output di netstat,
reindirizzato verso il file "log".
L'unica possibilità per accorgersi dello scambio è quello di
verificare la differenza esigua nelle dimensioni di Netstat che passa da
27,2 a 36 Kb; inoltre vi è un blocco, a causa del reindirizzamento,
quando si utilizza l'opzione di ripetizione del comando ogni tot
secondi. Per rendere l'inganno più raffinato si può anche sostituire,
con una versione "truccata", non Netstat stesso, bensì la
libreria a collegamento dinamico (inetmib1.dll) che fornisce
informazioni sullo stato della rete.
Netstat dunque non è sufficiente per accertarsi della presenza di
backdoor, né è in grado di analizzare il traffico di rete. Tuttavia,
cone le informazioni che vi abiamo fornito, potete verificare se la
vostra versione è quella "corretta" o meno.
|
Informazioni su IP e porte usando Netstat
Scritto da: TriÇker
Indice dei contenuti:
--------------------------------------------------------
INTRODUZIONE
I. Uso di Netstat
II. Individuazione delle porte aperte
III. SYN e ACK
IV. Usando Netstat per ICQ e AIM
V. Altri usi
VI. strumenti e accessori
VII. Due trucchi veloci
CONCLUSIONE
-------------------------------------------------------
INTRODUZIONE
--------------------------------------------------------
Salve grazie per stare leggendo questo testo per imparare di più sull'uso di
netstat affinchè ti sia di aiuto.
Per favore non curarti di qualsiasi errore di ortografia, punteggiatura o
grammaticale.
Questo testo è scritto in modo che anche il lettore medio lo possa
comprenderlo.
Non per complicarlo. Per favore siate liberi di inviarmi email.
-------------------------------------------------------
I. Uso di Netstat
--------------------------------------------------------
- (Per aprire netstat) - Per aprire Netstatt devi fare come segue:
Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca [prompt
di Ms-Dos].
Netstat è uno strumento davvero utile che ha molti usi. Io personalmente uso
netstat per prendere gli indirizzi IP di altri utenti con cui sto parlando su
ICQ o AIM. Puoi usare netstat anche per monitorare l'attività delle tue porte
contro aggressori che inviano richieste di syn (parte del TCP/IP
3-way-handshake) o solo per vedere quali porte stanno in attesa/in collegamento.
Guarda l'esempio sotto per una rappresentazione media di una risposta alla
digitazione di [netstat] al prompt 'c:\'
~~~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP pavilion:25872 WARLOCK:1045 ESTABLISHED
TCP pavilion:25872 sy-as-09-112.free.net.au:3925 ESTABLISHED
TCP pavilion:31580 WARLOCK:1046 ESTABLISHED
TCP pavilion:2980 205.188.2.9:5190 ESTABLISHED
TCP pavilion:3039 24.66.10.101.on.wave.home.com:1031 ESTABLISHED
~~~~~~~~~~~~~~~~~~~~~~~~
Adesso guarda sull'esempio. Vedrai [Proto]
nell'angolo in alto a sinistra.
Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai [Local
Address] questo ti dice le porte aperte dell'hostname/IP locale.
Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname
della persona e la porta nel formato dell'IP: porta con ":" nel mezzo
tra porta ed IP/hostname.
E alla fine vedrai [state] che semplicemente dichiara lo stato della
connessione.
Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è
in attesa di una connessione.
Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo
comando per il monitoraggio dell'attività delle porte e la scoperta di porte
aperte in uso.
--------------------------------------------------------
--------------------------------------------------------
II. Individuazione delle porte aperte
--------------------------------------------------------
Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo
sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi e
chiudendosi benchè tu non faccia niente. E tu dirai che cazzo sta succedendo...
oppure capirai che qualcuno si stia divertendo con un trojan sul tuo computer.
Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere
giusto? Bene hai ragione.
Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto
c'è un menu di aiuto. Esaminalo.
~~~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS>netstat -?
Visualizza statistiche su protocollo e
connessioni di rete TCP/IP correnti.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r]
[intervallo]
-a Visualizza tutte le connessioni e le porte di
ascolto.
-e Visualizza le statistiche Ethernet. L'oppzione può essere
associata all'opzione -s.
-n Visualizza gli indirizzi e i numeri di pporta in forma numerica.
-p proto Visualizza connessioni del protocoollo specificato da 'proto';
'proto' può essere TCP o UDP. Se usato con l'opzione -s per le
statistiche, 'proto' può essere TCP, UDP, o IP.
-r Visualizza la tabella di routing.
-s Visualizza le statistiche per protocolloo. Per impostazione
predefinita, le statistiche sono visualizzate per TCP, UDP
e IP; l'opzione -p può essere utilizzata per specificare
un sottoinsieme dell'impostazione predefinita.
intervallo Rivisualizza le statistiche selezionate, interrompendo
per un numero di secondi pari a "intervallo" tra ogni
visualizzazione. Premere CTRL+C per fermare la visualizzazione
delle statistiche. Se omesso, netstat stamperà le informazioni
di configurazione correnti una sola volta.
~~~~~~~~~~~~~~~~~~~~~~~~
Io personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le
connessioni e le porte aperte nella forma dell'IP invece che dell'hostname. Così
come puoi notare come abbia usato il comando: netstat -a(mostra tutte le
connessioni e le porte in attesa.)n(in formato numerico(IP))
nestat -an -così facendo vengono eseguite le due opzioni alla volta senza
bisogno di dover scrivere -a-n. Adesso che sai come usare netstat per per vedere
tutte le tue connessioni e le porte in attesa puoi ricercare porte comuni come
12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo diventa molto
utile per ogni cosa che scoprirai.
Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati per
circa 5 minuti e lascia tutto questa sudata per il ritorno pronto ad imparare di
più. :)
--------------------------------------------------------
III. SYN e ACK
--------------------------------------------------------
Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei
pacchetti sul tuo sistema.
Bene, lasciami dire cosa fanno SYN e ACK.
[SYN] - SYN in parole comuni è una richiesta
per una connessione usata nell'handshake 3-way nel TCP/IP. Quando tu mandi una
SYN per una connessione, il computer obbiettivo risponderà con una SYN o una
ACK. Così principalmente quando vedi nella colonna [state] SYN significa che
stai mandando una richiesta per connetterti a qualche cosa.
[ACK] - Adesso l'ACK è la conferma di ricevuta
alla richiesta fatta da un computer che sta provando a connettersi con te. Una
volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare
indietro un altra SYN al computer che richiede la connessione per confermare che
il pacchetto inviato era corretto.
Spero di averti aiutato a capire un pò di più SYN e ACK. Se hai ulteriori
domande prova a cercare testi sul TCP/IP.
Adesso andiamo nelle cose divertenti.
--------------------------------------------------------
IV. Usando Netstat per ICQ e AIM
--------------------------------------------------------
Avete mai provato a prendere qualche indirizzo IP o hostname usando [AIM] o [ICQ]?
Bene siete fortunati.
[AIM] - Con AIM non puoi generalmente trovare
l'esatto indirizzo IP senza alcune prove e errori poichè la maggior parte del
tempo sembra collegare tutti gli utenti online sulla porta 5190. Così meno
utenti sono online più è facile. Allora, vai al prompt di ms-dos e digita
netstat -n lì, vedrai sotto [Foreign Addressess] un IP:con la porta 5190.
Adesso uno di quegli IP che è connesso con te sulla porta 5190 diventerà il
tuo utente bersaglio su AIM. Solo prove e errori per cercare sono generalmente
il metodo più facile.
[ICQ] - per prendere un IP di un utente di ICQ
usando netstat è facile. PRima di di parlare con la persona su ICQ devi aprire
il prompt di ms-dos e fare il netstat -n per vedere tutti gli IP e le porte.
Prendi nota o copiali da qualche parte così che li possa ricordare in seguito.
Adesso è il momento di trovare questo IP. Manda un messaggio all'utente con un
singolo messaggio e adesso velocemente fai netstat -n. Avrai una nuova linea
aggiunta di un indirizzo IP, adesso cerca per quello nuovo nella colonna [Foreign
Addressess] e una volta che l'avrai trovato hai l'ip del tuo amico senza patch o
hackeraggi. Semplice abilità :P.
--------------------------------------------------------
V. Altri usi
--------------------------------------------------------
Netstat può essere usato per prendere gli IP di ogni cosa e ognuno, ogni volta
che c'è una connessione diretta tra te e il bersaglio (es. messaggi diretti,
trasferimenti di files o chat ICQ su ICQ, chat DCC (Direct Client Connection) o
chat e trasferimenti di files su irc ecc..).
--------------------------------------------------------
VI. strumenti e accessori
--------------------------------------------------------
Port scanning: per cercare una qualsiasi porta aperta su un computer:
- [7th Sphere Port scanner] - (2 siti mirroor nel caso che un link non
funzionasse)
- http://members.xoom.com/Cryptog/7spereporrtscan.exe
- http://members.xoom.com/gohan_3/7spereporrtscan.exe
Firewall per monitorare porte e il registro:
- [Lockdown 2000]
- http://www.lockdown.com
Per comunicare meglio:
- [ICQ]
- http://www.icq.com
- [Aol Instant Messanger]
- http://www.aol.com
Netstat con interfaccia grafica:
- [X-netstat]
- http://spazioweb.inwind.it/m3xican/paginee/download/vari.htm
-------------------------------------------------------
VII. Due trucchi veloci
--------------------------------------------------------
a. Alcune volte netstat può generare liste molto lunghe, che sono specialmente
confuse per i newbies. Se tu stai avendo difficoltà, esegui solo netstat, e poi
fai una connessione diretta di qualsiasi genere col tuo bersaglio , o fallo
connettere a te (ICQ, IRC, ecc.. ti sei fatto un idea) ed esegui netstat ancora.
Ci dovrebbe essere una nuova linea, questo è quello che stai cercando.
b. Se l'output di netstat è troppo lungo,
digita 'netstat -an > c:\directory\file.txt' (senza le virgolette, e puoi
rimpiazzare i parmetri -an e il nome del file e il suo percorso con qualsiasi
cosa tu voglia). Questo scaricherà l'output su quel file per una lettura
semplice, e ti permetterà anche di eseguire un copia & incolla.
-------------------------------------------------------
CONCLUSIONE
--------------------------------------------------------
Io penso che sia una cosa migliore comprendere internet che usare degli
strumenti che trovi.
Impara come fare le cose manualmente così comprenderai completamente cosa sta
accadendo. Questo alimenterà il tuo potere e ucciderà la tua debolezza :)
-Tricker
==================================================================
Questa guida è stata tradotta dal M3xican ( [email protected] ),
se considerate la traduzione scadente o vi volete
cimentare nell'impresa potete scaricare la versione originale
in inglese sempre su <http://napolihak.cjb.net>.
| Monitorare il
proprio PC in rete (porte TCP/IP) |
|
Una delle tante
chimere della rete è senza dubbio la sicurezza, infatti è ormai noto a
tutti che internet viola in ogni istante la nostra privacy e l'integrità
dei nostri dati.
Assodato quindi che bisogna convivere con tutto ciò per poter interagire
con la rete, la legittima curiosità che sorge è sapere quali porte
vengono aperte nel corso della nostra connessione.
I programmi per il monitoraggio delle entrate e delle uscite durante la
navigazione sono molteplici ed abbastanza utili, uno tra tutti è Netstat,
offerto dallo stesso Windows ed accessibile dal prompt di MS-DOS.
L'uso di questo funzionale programma è interessante sia perché ci
permette di conoscere ad esempio l'IP degli interlocutori presenti su ICQ
e sia perché scansiona l'attività delle porte in uso o semplicemente in
modalità listening (in ascolto).
Netstat è molto semplice da utilizzare ed allo stesso tempo abbastanza
efficiente, ecco qui di seguito alcune istruzioni che è possibile
effettuare dal prompt del DOS:
· digitando c:\windows>netstat
/? vengono visualizzate le varie opzioni relative allo stesso
programma
· digitando c:\windows>netstat
-a si ottiene l'elenco di tutte le connessioni e porte in ascolto
sotto forma di nome di host
· digitando c:\windows>netstat
-a -n si ottiene lo stesso elenco citato prima ma sotto forma di IP
e non di nome di host
Giusto per curiosità eccovi inoltre un
breve elenco delle porte più usate e del loro utilizzo:
· porta 23:
utlilizzata per Telnet
· porta 21: utilizzata per il protocollo FTP
· porta 25: utilizzata dalla posta
elettronica - SMTP posta in uscita -
· porta 80: accesso al web tramite browser -
HTTP web -
· porta 110: POP3 posta in arrivo
· porta 119: NTTP news
· porta 1243: utilizzata dai cavalli di
troia* - subseven -
· porta 1999: cavallo di troia - backdoor -
· porta 4950: cavallo di troia - ICQ troian
-
· porta 12345: cavallo di troia - netbus -
· porta 37337: cavallo di troia - back
orifice -
Se infine usate molti programmi internet
(Bearshare, ICQ ecc.) la finestra DOS di Netstat potrebbe non essere
sufficiente per contenere tutti i risultati sviluppati e quindi sarà
sufficiente creare un file di log (netstatlog.txt) da salvare direttamente
sul desktop, per far ciò basta digitare, sempre dal prompt, questo
semplice comando:
netstat -na> c:\windows\desktop\netstatlog.txt
Spero di essere stato chiaro ed esauriente, buona navigazione a tutti :-)
|
From: Leonardo Serni <[email protected]>
Newsgroups: it.comp.sicurezza.windows,it.comp.sicurezza.varie
Subject: Leggere l'output di NETSTAT
Date: Fri, 28 Jul 2000 20:58:35 +0200
Organization: CELT
Message-ID: <[email protected]>
Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Orbene, diciamo che abbiamo aperto il nostro prompt di MS-DOS e dato, in
finestra, il comando
NETSTAT -a
(il comando NETSTAT -na e' uguale, solo piu' veloce, perche' non sta li'
a perder tempo a risolvere gli indirizzi IP nei nomi corrispondenti).
e diciamo che mi ha dato qualcosa del tipo:
C:\WINDOWS\Desktop>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP TOWER:1025 klinure:nbsession ESTABLISHED
TCP TOWER:774 kidenas:22 ESTABLISHED
TCP TOWER:1038 kidenas:22 ESTABLISHED
TCP TOWER:139 *:* LISTEN
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
TCP TOWER:1042 mail.ornitorinchi.org:25 ESTABLISHED
TCP TOWER:1043 mail.ornitorinchi.org:110 ESTABLISHED
TCP TOWER:1026 TOWER:110 ESTABLISHED
TCP TOWER:110 *:* LISTEN
TCP TOWER:20034 *:* LISTEN
UDP TOWER:nbname *:*
UDP TOWER:nbdatagram *:*
Vediamo come si leggono queste benedette righe.
La colonna PROTO indica il protocollo di comunicazione, che per Windows
e' TCP (Transmission Control Protocol) o UDP ("Unreliable" ;-) Datagram
Protocol).
L'indirizzo locale non e' altro che il nome del MIO PC, nome che potrei
avere dato io ("PIPPO"), il mio network administrator ("C06160280503"),
o magari, un CD-ROM preso in edicola con Free Internet ("LIBERO"). Fino
a che non cambio il nome io, da Risorse di Rete -> Proprieta', rimarra'
il nome impostato.
L'indirizzo locale e' seguito da due punti e dalla frequenza utilizzata
per lo scambio dati. Un computer opera nella gamma di frequenze da 1 su
su fino ai 65535 megaportz. Le frequenze da 1 a 1024 sono riservate per
gli usi di sistema, tipo le frequenze della polizia.
Su un sistema Unix, solo l'amministratore puo' ricevere (o trasmettere)
nella banda da 1 a 1024 megaportz :-).
A differenza delle onde radio, dove chi parla e chi ascolta devono, per
forza di cose, stare sulla stessa frequenza, e su una frequenza possono
parlare solo uno per volta (se vogliono capirsi! ;-) ), Internet non ha
questo limite.
Cosi', un server Web sta in ascolto sulle frequenze 80 e 443 (questa e'
la frequenza per trasmissioni crittografate, ad uso carta di credito et
similia), ma su ciascuna puo' condurre moltissime connessioni. Inoltre,
anche il chiamante puo' parlare usando piu' frequenze.
L'unico limite (principio di esclusione di Pauli) e' che i quattro dati
caratteristici (chiamante, frequenza chiamante, ricevente, freq. ric.),
non possono essere tutti e quattro uguali. Fra due hosts, quindi, posso
avere anche piu' di una connessione attiva. In questo esempio:
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
...sto scaricando (o provandoci!) DUE immagini contemporaneamente da un
sito Web. Netscape ha un apposito setup per impostare il massimo numero
di connessioni simultanee ammesse.
Lo STATE indica in che stato e' la connessione.
Per esempio, se ho un programma ricevente sul mio PC, in attesa di dati
o comandi dall'esterno (che so: una bella backdoor!), mi comparira' una
entry del tipo
TCP TOWER:20034 *:* LISTEN
dove "LISTEN" significa appunto che il sistema sta "ascoltando" in modo
da sapere se i suoi servigii sono richiesti.
Quando mi collego a un sito Web, quel sito Web avra' la frequenza 80 in
stato LISTEN. E sara' bene, se no col fischio che ci navigo sopra :-)
Quando inizio a collegarmi, lo stato passa da SYN_SENT, SYN_ACK, fino a
un glorioso ESTABLISHED ("comunicazione in corso"). Quando termina, non
ripete al contrario la sequenza, ma passa da FIN, FIN_WAIT, a FIN2_WAIT
fino a CLOSE. Dopo un po', la frequenza viene sganciata del tutto, e il
programma NETSTAT cessa di far vedere la riga.
Le frequenze assegnate a dati servizi di rete sono standardizzate dalla
IANA e alcune sono riportate in /etc/services, o C:\WINDOWS\SERVICES, a
seconda che abbiate un sistema operativo o meno <grin>.
Nessuno vieta di fare la scempiaggine di mettere un servizio in ascolto
su una frequenza impropria. Nessuno vieta ad un fruttivendolo di andare
al banco dell'ufficio anagrafe del Comune ("Mi serve il certificato per
la casa..." "Ecco qua, ora glielo taglio in due, cosi' vede la polpa...
con questo caldo e' quello che ci vuole, tenga, lo metta in ghiacciaia,
sono tre chili boni... melone, punto?"). Pero', la conversazione assume
aspetti surreali, e i risultati non saranno quelli desiderati.
Alla luce di quanto sopra rileggiamo le righe:
TCP TOWER:1025 klinure:nbsession ESTABLISHED
E' una connessione, in corso. Dato che la MIA porta e' 1025, mentre sul
sistema Klinure e' nbsession, che e' una porta riservata, significa CON
OGNI PROBABILITA' (certezze mai!) che sono stato IO ad aprire un link a
Klinure, sulla porta nbsession di Klinure.
TCP TOWER:774 kidenas:22 ESTABLISHED
Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
porte amministrative, fra 1 e 1024.
TCP TOWER:139 *:* LISTEN
Questo significa che il MIO computer e' in ascolto sulla frequenza 139,
e che qualsiasi computer (*) con qualsiasi frequenza (*) puo' inviare i
suoi dati o comandi, e saranno ricevuti.
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
Qui io ho iniziato una connessione Web (80), ma ancora non e' passata a
ESTABLISHED. Fra pochi secondi probabilmente lo fara'.
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
Qui sto CHIUDENDO una connessione allo stesso sito.
TCP TOWER:1042 mail.ornitorinchi.org:25 ESTABLISHED
TCP TOWER:1043 mail.ornitorinchi.org:110 ESTABLISHED
Queste sono due connessioni a un server ("mail.ornitorinchi.org") sulle
frequenze Posta in Partenza (25) e Posta in Arrivo (110).
TCP TOWER:1026 TOWER:110 ESTABLISHED
Questo sono... io, che mi collego a... me stesso. Curioso.
TCP TOWER:110 *:* LISTEN
E questo sono io, che aspetto connessioni sulla porta 110, di Posta In
Arrivo.
Quello che succede e' probabilmente questo: sul mio PC c'e' "qualcosa"
che fa finta di essere un server di posta. Questo qualcosa si collega,
poi, al vero server di posta. L'uso piu' probabile per questo rimbalzo
e' leggere la posta prima che io la scarichi. Per esempio, per vederne
il contenuto ed eliminarne possibili virus; oppure per copiarla e fare
spionaggio industriale, chissa'.
TCP TOWER:20034 *:* LISTEN
Qui c'e' un programma in attesa su una frequenza altissima ed usata da
pochissimi. Questo e' molto sospetto. Una passata d'antivirus trovera'
con ogni probabilita' la backdoor NetBUS.
UDP TOWER:nbname *:*
UDP TOWER:nbdatagram *:*
Questi sono due servizi typycamente Windows, da sempre in ascolto :-)
Leonardo
".signature": bad command or file name
INFORMAZIONI
L'utilità Netstat.exe dispone di un nuovo parametro, il parametro -o,
in grado di visualizzare l'identificatore di processo associato a ciascuna
connessione. Questa informazione risulta utile per determinare quale processo,
ovvero programma, è in ascolto su una data porta. Ad esempio, il comando netstat
-ano è in grado di fornire il seguente output: Proto Indirizzo locale Indirizzo esterno Stato PID
TCP 0.0.0.0:80 0.0.0.0:0 In ascolto 888
Se si utilizza Task Manager è possibile associare l'ID di processo elencato a
un nome di processo (programma). Questa funzione consente di trovare la porta
specifica attualmente utilizzata da un programma. Dato che questa porta è già
utilizzata da un programma, un altro programma non può utilizzare la stessa
porta.
Per associare l'ID di processo a un programma:
- Premere CTRL+ALT+CANC e fare clic sulla scheda Processi.
- Se non è visualizzata una colonna PID, fare clic su Visualizza,
quindi su Seleziona colonne e infine fare clic per selezionare la
casella di controllo PID (identificatore di processo).
- Fare clic sull'intestazione di colonna "PID" per ordinare il
processo in base ai PID. Si dovrebbe essere in grado di trovare facilmente
l'ID di processo per associarlo al programma elencato in Task Manager.
Per ottenere ulteriori informazioni sull'utilità Netstat.exe:
- Fare clic sul pulsante Start, quindi scegliere Esegui.
- Nella casella Apri, digitare: cmd, quindi scegliere OK.
- Al prompt dei comandi digitare netstat /? .
Parole di ricerca aggiuntive:
|
