I. Uso di Netstat
-------------------------------------------------------
- (Per aprire netstat) - Per aprire Netstat devi fare come segue:
Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca [prompt di Ms-Dos].
Netstat permette di monitorare l'attivita' delle porte del tuo pc, contro eventuali aggressori, che inviano richieste di syn o per verificare le porte in attesa o in collegamento.
Esempio:
~~~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP pavilion:25872 WARLOCK:1045 ESTABLISHED
TCP pavilion:25872 sy-as-09-112.free.net.au:3925 ESTABLISHED
TCP pavilion:31580 WARLOCK:1046 ESTABLISHED
TCP pavilion:2980 205.188.2.9:5190 ESTABLISHED
TCP pavilion:3039 24.66.10.101.on.wave.home.com:1031 ESTABLISHED
~~~~~~~~~~~~~~~~~~~~~~~~
Adesso guarda sull'esempio. Vedrai [Proto] nell'angolo in alto a sinistra.
Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai [Local Address] questo ti dice le porte aperte dell'hostname/IP locale.
Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname della persona e la porta nel formato dell'IP: porta con ":" nel mezzo tra porta ed IP/hostname.
E alla fine vedrai [state] che semplicemente dichiara lo stato della connessione.
Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è in attesa di una connessione.
Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo comando per il monitoraggio dell'attività delle porte e la scoperta di porte aperte in uso.
-------------------------------------------------------
II. Individuazione delle porte aperte
-------------------------------------------------------
Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi e chiudendosi benchè tu non faccia niente. E tu dirai che cazzo sta succedendo... oppure capirai che qualcuno si stia divertendo con un trojan sul tuo computer.
Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere giusto? Bene hai ragione.
Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto c'è un menu di aiuto. Esaminalo.
~~~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS>netstat -?
Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo]
-a Visualizza tutte le connessioni e le porte di ascolto.
-e Visualizza le statistiche Ethernet. L'opzione può essere
associata all'opzione -s.
-n Visualizza gli indirizzi e i numeri di porta in forma numerica.
-p proto Visualizza connessioni del protocollo specificato da 'proto';
'proto' può essere TCP o UDP. Se usato con l'opzione -s per le
statistiche, 'proto' può essere TCP, UDP, o IP.
-r Visualizza la tabella di routing.
-s Visualizza le statistiche per protocollo. Per impostazione
predefinita, le statistiche sono visualizzate per TCP, UDP
e IP; l'opzione -p può essere utilizzata per specificare
un sottoinsieme dell'impostazione predefinita.
intervallo Rivisualizza le statistiche selezionate, interrompendo
per un numero di secondi pari a "intervallo" tra ogni
visualizzazione. Premere CTRL+C per fermare la visualizzazione
delle statistiche. Se omesso, netstat stamperà le informazioni
di configurazione correnti una sola volta.
~~~~~~~~~~~~~~~~~~~~~~~~
Io personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le connessioni e le porte aperte nella forma dell'IP invece che dell'hostname. Così come puoi notare come abbia usato il comando: netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in formato numerico(IP))
nestat -an -così facendo vengono eseguite le due opzioni alla volta senza bisogno di dover scrivere -a-n. Adesso che sai come usare netstat per per vedere tutte le tue connessioni e le porte in attesa puoi ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo diventa molto utile per ogni cosa che scoprirai.
Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati per circa 5 minuti e lascia tutto questa sudata per il ritorno pronto ad imparare di più.
-------------------------------------------------------
III. SYN e ACK
-------------------------------------------------------
Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei pacchetti sul tuo sistema.
Bene, lasciami dire cosa fanno SYN e ACK.
[SYN] - SYN in parole comuni è una richiesta per una connessione usata nell'handshake 3-way nel TCP/IP. Quando tu mandi una SYN per una connessione, il computer obbiettivo risponderà con una SYN o una ACK. Così principalmente quando vedi nella colonna [state] SYN significa che stai mandando una richiesta per connetterti a qualche cosa.
[ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da un computer che sta provando a connettersi con te. Una volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare indietro un altra SYN al computer che richiede la connessione per confermare che il pacchetto inviato era corretto.
-------------------------------------------------------
- (Per aprire netstat) - Per aprire Netstat devi fare come segue:
Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca [prompt di Ms-Dos].
Netstat permette di monitorare l'attivita' delle porte del tuo pc, contro eventuali aggressori, che inviano richieste di syn o per verificare le porte in attesa o in collegamento.
Esempio:
~~~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP pavilion:25872 WARLOCK:1045 ESTABLISHED
TCP pavilion:25872 sy-as-09-112.free.net.au:3925 ESTABLISHED
TCP pavilion:31580 WARLOCK:1046 ESTABLISHED
TCP pavilion:2980 205.188.2.9:5190 ESTABLISHED
TCP pavilion:3039 24.66.10.101.on.wave.home.com:1031 ESTABLISHED
~~~~~~~~~~~~~~~~~~~~~~~~
Adesso guarda sull'esempio. Vedrai [Proto] nell'angolo in alto a sinistra.
Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai [Local Address] questo ti dice le porte aperte dell'hostname/IP locale.
Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname della persona e la porta nel formato dell'IP: porta con ":" nel mezzo tra porta ed IP/hostname.
E alla fine vedrai [state] che semplicemente dichiara lo stato della connessione.
Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è in attesa di una connessione.
Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo comando per il monitoraggio dell'attività delle porte e la scoperta di porte aperte in uso.
-------------------------------------------------------
II. Individuazione delle porte aperte
-------------------------------------------------------
Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi e chiudendosi benchè tu non faccia niente. E tu dirai che cazzo sta succedendo... oppure capirai che qualcuno si stia divertendo con un trojan sul tuo computer.
Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere giusto? Bene hai ragione.
Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto c'è un menu di aiuto. Esaminalo.
~~~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS>netstat -?
Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo]
-a Visualizza tutte le connessioni e le porte di ascolto.
-e Visualizza le statistiche Ethernet. L'opzione può essere
associata all'opzione -s.
-n Visualizza gli indirizzi e i numeri di porta in forma numerica.
-p proto Visualizza connessioni del protocollo specificato da 'proto';
'proto' può essere TCP o UDP. Se usato con l'opzione -s per le
statistiche, 'proto' può essere TCP, UDP, o IP.
-r Visualizza la tabella di routing.
-s Visualizza le statistiche per protocollo. Per impostazione
predefinita, le statistiche sono visualizzate per TCP, UDP
e IP; l'opzione -p può essere utilizzata per specificare
un sottoinsieme dell'impostazione predefinita.
intervallo Rivisualizza le statistiche selezionate, interrompendo
per un numero di secondi pari a "intervallo" tra ogni
visualizzazione. Premere CTRL+C per fermare la visualizzazione
delle statistiche. Se omesso, netstat stamperà le informazioni
di configurazione correnti una sola volta.
~~~~~~~~~~~~~~~~~~~~~~~~
Io personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le connessioni e le porte aperte nella forma dell'IP invece che dell'hostname. Così come puoi notare come abbia usato il comando: netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in formato numerico(IP))
nestat -an -così facendo vengono eseguite le due opzioni alla volta senza bisogno di dover scrivere -a-n. Adesso che sai come usare netstat per per vedere tutte le tue connessioni e le porte in attesa puoi ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo diventa molto utile per ogni cosa che scoprirai.
Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati per circa 5 minuti e lascia tutto questa sudata per il ritorno pronto ad imparare di più.
-------------------------------------------------------
III. SYN e ACK
-------------------------------------------------------
Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei pacchetti sul tuo sistema.
Bene, lasciami dire cosa fanno SYN e ACK.
[SYN] - SYN in parole comuni è una richiesta per una connessione usata nell'handshake 3-way nel TCP/IP. Quando tu mandi una SYN per una connessione, il computer obbiettivo risponderà con una SYN o una ACK. Così principalmente quando vedi nella colonna [state] SYN significa che stai mandando una richiesta per connetterti a qualche cosa.
[ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da un computer che sta provando a connettersi con te. Una volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare indietro un altra SYN al computer che richiede la connessione per confermare che il pacchetto inviato era corretto.