Leggere l'output di NETSTAT
Leonardo Serni
Orbene, diciamo che abbiamo aperto il nostro prompt di MS-DOS e dato, in
finestra, il comando
NETSTAT -a
(il comando NETSTAT -na e' uguale, solo piu' veloce, perche' non sta li'
a perder tempo a risolvere gli indirizzi IP nei nomi corrispondenti).
e diciamo che mi ha dato qualcosa del tipo:
C:\WINDOWS\Desktop>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP TOWER:1025 klinure:nbsession ESTABLISHED
TCP TOWER:774 kidenas:22 ESTABLISHED
TCP TOWER:1038 kidenas:22 ESTABLISHED
TCP TOWER:139 *:* LISTEN
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
TCP TOWER:1042 mail.ornitorinchi.org:25 ESTABLISHED
TCP TOWER:1043 mail.ornitorinchi.org:110 ESTABLISHED
TCP TOWER:1026 TOWER:110 ESTABLISHED
TCP TOWER:110 *:* LISTEN
TCP TOWER:20034 *:* LISTEN
UDP TOWER:nbname *:*
UDP TOWER:nbdatagram *:*
Vediamo come si leggono queste benedette righe.
La colonna PROTO indica il protocollo di comunicazione, che per Windows
e' TCP (Transmission Control Protocol) o UDP ("Unreliable" ;-) Datagram
Protocol).
L'indirizzo locale non e' altro che il nome del MIO PC, nome che potrei
avere dato io ("PIPPO"), il mio network administrator ("C06160280503"),
o magari, un CD-ROM preso in edicola con Free Internet ("LIBERO"). Fino
a che non cambio il nome io, da Risorse di Rete -> Proprieta', rimarra'
il nome impostato.
L'indirizzo locale e' seguito da due punti e dalla frequenza utilizzata
per lo scambio dati. Un computer opera nella gamma di frequenze da 1 su
su fino ai 65535 megaportz. Le frequenze da 1 a 1024 sono riservate per
gli usi di sistema, tipo le frequenze della polizia.
Su un sistema Unix, solo l'amministratore puo' ricevere (o trasmettere)
nella banda da 1 a 1024 megaportz :-).
A differenza delle onde radio, dove chi parla e chi ascolta devono, per
forza di cose, stare sulla stessa frequenza, e su una frequenza possono
parlare solo uno per volta (se vogliono capirsi! ;-) ), Internet non ha
questo limite.
Cosi', un server Web sta in ascolto sulle frequenze 80 e 443 (questa e'
la frequenza per trasmissioni crittografate, ad uso carta di credito et
similia), ma su ciascuna puo' condurre moltissime connessioni. Inoltre,
anche il chiamante puo' parlare usando piu' frequenze.
L'unico limite (principio di esclusione di Pauli) e' che i quattro dati
caratteristici (chiamante, frequenza chiamante, ricevente, freq. ric.),
non possono essere tutti e quattro uguali. Fra due hosts, quindi, posso
avere anche piu' di una connessione attiva. In questo esempio:
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
...sto scaricando (o provandoci!) DUE immagini contemporaneamente da un
sito Web. Netscape ha un apposito setup per impostare il massimo numero
di connessioni simultanee ammesse.
Lo STATE indica in che stato e' la connessione.
Per esempio, se ho un programma ricevente sul mio PC, in attesa di dati
o comandi dall'esterno (che so: una bella backdoor!), mi comparira' una
entry del tipo
TCP TOWER:20034 *:* LISTEN
dove "LISTEN" significa appunto che il sistema sta "ascoltando" in modo
da sapere se i suoi servigii sono richiesti.
Quando mi collego a un sito Web, quel sito Web avra' la frequenza 80 in
stato LISTEN. E sara' bene, se no col fischio che ci navigo sopra :-)
Quando inizio a collegarmi, lo stato passa da SYN_SENT, SYN_ACK, fino a
un glorioso ESTABLISHED ("comunicazione in corso"). Quando termina, non
ripete al contrario la sequenza, ma passa da FIN, FIN_WAIT, a FIN2_WAIT
fino a CLOSE. Dopo un po', la frequenza viene sganciata del tutto, e il
programma NETSTAT cessa di far vedere la riga.
Le frequenze assegnate a dati servizi di rete sono standardizzate dalla
IANA e alcune sono riportate in /etc/services, o C:\WINDOWS\SERVICES, a
seconda che abbiate un sistema operativo o meno <grin>.
Nessuno vieta di fare la scempiaggine di mettere un servizio in ascolto
su una frequenza impropria. Nessuno vieta ad un fruttivendolo di andare
al banco dell'ufficio anagrafe del Comune ("Mi serve il certificato per
la casa..." "Ecco qua, ora glielo taglio in due, cosi' vede la polpa...
con questo caldo e' quello che ci vuole, tenga, lo metta in ghiacciaia,
sono tre chili boni... melone, punto?"). Pero', la conversazione assume
aspetti surreali, e i risultati non saranno quelli desiderati.
Alla luce di quanto sopra rileggiamo le righe:
TCP TOWER:1025 klinure:nbsession ESTABLISHED
E' una connessione, in corso. Dato che la MIA porta e' 1025, mentre sul
sistema Klinure e' nbsession, che e' una porta riservata, significa CON
OGNI PROBABILITA' (certezze mai!) che sono stato IO ad aprire un link a
Klinure, sulla porta nbsession di Klinure.
TCP TOWER:774 kidenas:22 ESTABLISHED
Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
porte amministrative, fra 1 e 1024.
TCP TOWER:139 *:* LISTEN
Questo significa che il MIO computer e' in ascolto sulla frequenza 139,
e che qualsiasi computer (*) con qualsiasi frequenza (*) puo' inviare i
suoi dati o comandi, e saranno ricevuti.
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
Qui io ho iniziato una connessione Web (80), ma ancora non e' passata a
ESTABLISHED. Fra pochi secondi probabilmente lo fara'.
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
Qui sto CHIUDENDO una connessione allo stesso sito.
TCP TOWER:1042 mail.ornitorinchi.org:25 ESTABLISHED
TCP TOWER:1043 mail.ornitorinchi.org:110 ESTABLISHED
Queste sono due connessioni a un server ("mail.ornitorinchi.org") sulle
frequenze Posta in Partenza (25) e Posta in Arrivo (110).
TCP TOWER:1026 TOWER:110 ESTABLISHED
Questo sono... io, che mi collego a... me stesso. Curioso.
TCP TOWER:110 *:* LISTEN
E questo sono io, che aspetto connessioni sulla porta 110, di Posta In
Arrivo.
Quello che succede e' probabilmente questo: sul mio PC c'e' "qualcosa"
che fa finta di essere un server di posta. Questo qualcosa si collega,
poi, al vero server di posta. L'uso piu' probabile per questo rimbalzo
e' leggere la posta prima che io la scarichi. Per esempio, per vederne
il contenuto ed eliminarne possibili virus; oppure per copiarla e fare
spionaggio industriale, chissa'.
TCP TOWER:20034 *:* LISTEN
Qui c'e' un programma in attesa su una frequenza altissima ed usata da
pochissimi. Questo e' molto sospetto. Una passata d'antivirus trovera'
con ogni probabilita' la backdoor NetBUS.
UDP TOWER:nbname *:*
UDP TOWER:nbdatagram *:*
Questi sono due servizi typycamente Windows, da sempre in ascolto :-)
Leonardo
".signature": bad command or file name
a.t.k
> L'indirizzo locale e' seguito da due punti e dalla frequenza utilizzata
> per lo scambio dati. Un computer opera nella gamma di frequenze da 1 su
> su fino ai 65535 megaportz. Le frequenze da 1 a 1024 sono riservate per
> gli usi di sistema, tipo le frequenze della polizia.
bellissimo post, complimenti.
solo una curiosita': hai usato "frequenze" invece di "porte" per
evitare analogie fuorvianti tipo "sfondare una porta", ecc?
--
a.t.k
"No matter what anyone tells you, words and ideas can change the world."
Nello
mi sa che me lo stampo, lo metto nel cuscino e ci dormo sopra :=)
complimenti cmq bel post...ne aspettiamo altri
"Leonardo Serni" <ser...@tin.it> ha scritto nel messaggio
news:q4g3oscm645vqr816...@4ax.com...
Hot Wind
grazie
--
Posted from [212.141.75.87] by way of oe25.law10.hotmail.com [64.4.14.82]
via Mailgate.ORG Server - http://www.Mailgate.ORG
Hamlet
Leonardo Serni wrote
> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Complimenti, uno dei post più interessanti che ho mai letto.
Quanto tempo pensi che ci voglia, per arrivare al tuo livello?
Valerio Vanni
>bella leonardo,
>mi sa che me lo stampo, lo metto nel cuscino e ci dormo sopra :=)
>complimenti cmq bel post...ne aspettiamo altri
Mi raccomando il quoting!
mAyhEm
>
> Orbene, diciamo che abbiamo aperto il nostro prompt di MS-DOS e dato, in
> finestra, il comando
>
> NETSTAT -a
>
> (il comando NETSTAT -na e' uguale, solo piu' veloce, perche' non sta li'
> a perder tempo a risolvere gli indirizzi IP nei nomi corrispondenti).
>
> e diciamo che mi ha dato qualcosa del tipo:
snip...
va beh... adesso uno dice ste cose si aspetta che la gente capisca, magari
che smetta di postare pagine e pagine di netsat contenenti gli ip dei piu'
visitati siti hard e web-chat... ed io che faccio nel tempo libero? leggo i
tuoi post? ho un esempio in mente... ma poi ne riparliamo....
> ".signature": bad command or file name
cd
echo cosa bisogna scrivere in questo riquadro? > .signature
un mayhem risolutore. anche di excel on demand.
--
cosa bisogna scrivere in questo riquadro?
Valerio Vanni
wrote:
> TCP TOWER:1025 klinure:nbsession ESTABLISHED
>
>E' una connessione, in corso. Dato che la MIA porta e' 1025, mentre sul
>sistema Klinure e' nbsession, che e' una porta riservata, significa CON
>OGNI PROBABILITA' (certezze mai!) che sono stato IO ad aprire un link a
>Klinure, sulla porta nbsession di Klinure.
>
> TCP TOWER:774 kidenas:22 ESTABLISHED
>
>Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
>conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
>porte amministrative, fra 1 e 1024.
Non riesco a capire la differenza tra questi 2 casi.
Antonino Nucera
Leonardo Serni
>Leonardo Serni ha scritto:
>> L'indirizzo locale e' seguito da due punti e dalla frequenza utilizzata
>> per lo scambio dati. Un computer opera nella gamma di frequenze da 1 su
>> su fino ai 65535 megaportz. Le frequenze da 1 a 1024 sono riservate per
>> gli usi di sistema, tipo le frequenze della polizia.
>bellissimo post, complimenti.
>solo una curiosita': hai usato "frequenze" invece di "porte" per
>evitare analogie fuorvianti tipo "sfondare una porta", ecc?
Esattamente. Forse mi potevo risparmiare il "megaportz", pero'. Come
dissi in un post dal titolo forse piu' pittoresco <grin>, quando uno
parla di porta viene subito in mente lo scassinamento.
Invece, se ascolto la RAI, non importa quanto sconvolgenti, o quanto
convincenti, siano le notizie su Radio Maria: non le sento - punto e
basta. E su Internet, si trasmette a potenza fissa, sicche' non c'e'
neanche modo di "attirare l'attenzione".
Robbie the Robot
Leonardo Serni, Karl Marx, Charles Darwin. Ed e' uno di loro che ha
espresso la sua saggezza mediante le seguenti illuminate parole:
>Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Grassie anche da parte mia per il bellissimo articolo! :-)
> TCP TOWER:139 *:* LISTEN
>
>Questo significa che il MIO computer e' in ascolto sulla frequenza 139,
>e che qualsiasi computer (*) con qualsiasi frequenza (*) puo' inviare i
>suoi dati o comandi, e saranno ricevuti.
Ehm, ma questa e' cosa buona o cosa cattiva?
Buttha
nel post <q4g3oscm645vqr816...@4ax.com>, scrisse:
> Quando inizio a collegarmi, lo stato passa da SYN_SENT, SYN_ACK, fino a
> un glorioso ESTABLISHED ("comunicazione in corso").
sob! Magari funzionasse in dialup:
mi e' capitato di fare un gateway linux con collegamento ISDN dialup
(tramite pppd on demand):
per permettere il collegamento ai server di posta, inizialmente ho
provato con rinetd (un semplice demone di ridirezione) e poi, visto il
problema che ora espongo, anche con il masquerading: in tutti e due i
casi, a connessione con il provider non cominciata, il netstat mostrava
un impietosa cosa simile:
diciamo che il gateway ha indirizzo, in LAN, 10.168.64.30 e diciamo che
mi ci collego con un autlukko del pc 10.168.64.10:
c'e' una bella connessione tra 10.168.64.10 e il mio server 10.168.64.30
e c'e' un bel SYN_SENT da 10.168.64.30 al server di posta...
Linuccio, insomma, manda il syn con l'IP che ha in LAN...
Per ora ho risolto con inetd, tcpd e un bel nmap -w 20 mail.chissa.it 25
in ascolto.
Ma, mi domando: e se dovessi utilizzare il masquerading, come potrei
risolvere questo problema?
> TCP TOWER:774 kidenas:22 ESTABLISHED
> Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
> conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
> porte amministrative, fra 1 e 1024.
ho notato (settando ipchains) che anche utilizzando NFS capita questo.
> TCP TOWER:110 *:* LISTEN
> E questo sono io, che aspetto connessioni sulla porta 110, di Posta In
> Arrivo.
> Quello che succede e' probabilmente questo: sul mio PC c'e' "qualcosa"
> che fa finta di essere un server di posta. Questo qualcosa si collega,
> poi, al vero server di posta.
eh si, e' il mio netcat
ciao
Buttha
--
* Per rispondere in email rimuovere la prima i dall'indirizzo
* http://members.xoom.it/buttha/
* "...questa e' la tua vita, e sta finendo un minuto per volta!..."
Buttha
nel post <89rul8.vq.ln@localhost>, scrisse:
> Per ora ho risolto con inetd, tcpd e un bel nmap -w 20 mail.chissa.it 25
ehm: un bel nc -w 20 mail.chissa.it 25 :))
hola
Buttha
--
* Per rispondere in email rimuovere la prima i dall'indirizzo
* http://members.xoom.it/buttha/
* " In Brasile ci sono solo puttane e calciatori "
" Ti ricordo che mia moglie è brasiliana! "
" Ah... e in che squadra gioca? "
knight
ciao ciao
GoTrax
purred:
>Questi sono due servizi typycamente Windows, da sempre in ascolto :-)
Che, sebbene unbindati da tcp/ip e accesso remoto, continuano a stare
in ascolto.
Misteri.
E non posso nemmeno chiuderli, altrimenti addio lan.
Ma esiste un fw per windows che permetta di scegliere l'interfaccia da
bloccare, come il caro ipchains?
*sic*
Carlo Fusco
> Leonardo Serni wrote
>> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
> Complimenti, uno dei post più interessanti che ho mai letto.
> Quanto tempo pensi che ci voglia, per arrivare al tuo livello?
Se ti ricordi in quella bella serie televisiva, prodotta nei primi
anni settanta, dal fuorviante titolo di Kungfu il giovane apprendista
per poter iniziare le durissime prove prima di diventare monaco doveva
riuscire a prendere dalla mano di uno dei suoi maestri un sassolino.
In questo caso *forse* basterebbe formattare i propri articoli
giustificandoli *senza* alterare gli spazie tra le parole, come riesce
a fare Leonardo con mia somma costernazione.
--
Ciao
cf
ŠŽô+äLő "Darude" ł˛š
> L'indirizzo locale non e' altro che il nome del MIO PC, nome che potrei
> avere dato io ("PIPPO"), il mio network administrator ("C06160280503"),
> o magari, un CD-ROM preso in edicola con Free Internet ("LIBERO"). Fino
> a che non cambio il nome io, da Risorse di Rete -> Proprieta', rimarra'
> il nome impostato.
Nome che, nel caso in cui non si abbia installata la Rete (tipo accesso
Dial-Up avendo preventivamente eliminato l'Accesso di Gruppo
Personalizzato), puo' essere modificato agendo nel Registro di
Configurazione. Devotamente:
©®ô+äLõ "Darude" ³²¹
Orfeo 137
Leonardo Serni <ser...@tin.it> wrote in message
q4g3oscm645vqr816...@4ax.com...
> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Mi sembrava superfluo farlo ma visto che molti lo hanno fatto
vorrei esprimere anchio la soddisfazione che si prova nel leggere
i post di Leonardo, ormai Nume Tutelare di questo ng.
( non me ne vogliano gli altri...tutti molto bravi )
--
********************************************************************
BA9C 80F3 A165 0B91 EE13 9BEA 239E E955 A14E E281
********************************************************************
Manuele Rampazzo
LS> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Complimenti! Ma come *diavolo* fai a scrivere in 'sto modo? tutto cosi'
giustificato alla perfezione? mamma mia...
Ed ora, giusto una curiosita' (trying to be a lamer...)
LS> TCP TOWER:774 kidenas:22 ESTABLISHED
LS> Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
LS> conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
LS> porte amministrative, fra 1 e 1024.
[manu@tdop manu]$ netstat -na | grep 22
tcp 0 0 192.168.0.1:1027 192.168.0.2:22 ESTABLISHED
tcp 0 0 192.168.0.1:1024 192.168.0.2:22 ESTABLISHED
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
Il discorso di cui sopra vale solo per windoze?
Grazie, ciao!
--
| Manuele Rampazzo - I really like Linux | ... |
|----------------------------------------| Your flesh is nice |
| http://www.geocities.com/mrampazzo | I wanna take you twice |
| ** infinito (at) mclink (dot) it ** | ... |
Lyapunov
Nello wrote:
>
> bella leonardo,
> mi sa che me lo stampo, lo metto nel cuscino e ci dormo sopra :=)
> complimenti cmq bel post...ne aspettiamo altri
[snip]
Lo scopo di Leonardo era quello di fare una micro-FAQ su netstat
al fine di limitare i post sull'argomento.
Trovi che fosse proprio necessario rispondere per ringraziare quotando
integralmente il suo post?
Ciao.
Lyapunov
Carlo Fusco wrote:
> In questo caso *forse* basterebbe formattare i propri articoli
> giustificandoli *senza* alterare gli spazie tra le parole, come riesce
> a fare Leonardo con mia somma costernazione.
...con somma invidia di tuti, oserei dire! [grrr!!!] ;-D
Lyapunov
Buttha wrote:
> > Per ora ho risolto con inetd, tcpd e un bel nmap -w 20 mail.chissa.it 25
>
> ehm: un bel nc -w 20 mail.chissa.it 25 :))
Lapsus froidiano??? ;-D
Leonardo Serni
<valeri...@inwind.it> wrote:
>> TCP TOWER:1025 klinure:nbsession ESTABLISHED
>>E' una connessione, in corso. Dato che la MIA porta e' 1025, mentre sul
>>sistema Klinure e' nbsession, che e' una porta riservata, significa CON
>>OGNI PROBABILITA' (certezze mai!) che sono stato IO ad aprire un link a
>>Klinure, sulla porta nbsession di Klinure.
>> TCP TOWER:774 kidenas:22 ESTABLISHED
>>Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
>>conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
>>porte amministrative, fra 1 e 1024.
>Non riesco a capire la differenza tra questi 2 casi.
Come connessione, nessuna. In entrambi i casi e' stato TOWER a chiedere
la connessione, una volta al servizio nbsession su klinure e la seconda
volta al servizio 22 (che si chiamerebbe "ssh", se avessi un file buono
per i services... mo' ce lo aggiungo a mano) su kidenas.
Pero', normalmente per le connessioni uscenti si usa una porta effimera
(cioe' da 1025 in su). Windows le usa a crescere, cioe' parte da 1025 e
va a salire.
E cosi' se ti arriva una richiesta di connessione sulla 12345, da un PC
su una frequenza bassa, diciamo 1030, sai che quel tizio e' in rete non
da molto.
+++
Una nota speciale per le frequenze superiori a 40000: alcuni sistemi le
utilizzano per effettuare "connessioni mascherate"... per esempio io ho
una ADSL, e dieci PC in ufficio. La ADSL serve un computer solo. Allora
che faccio? Metto un "ritrasmettitore" su quel PC, che accetta chiamate
dai dieci PC a valle, e le rispedisce su Internet, come se fossero roba
sua. Alcuni sistemi (Linux!), nella configurazione di default, anziche'
usare per le "rispedizioni" la prima frequenza effimera disponibile dal
basso, usano i numeri dal basso a salire per le PROPRIE connessioni, ma
i numeri dall'alto a scendere per le connessioni "conto terzi".
Quindi, se io sono il sito Web di TIN, e mi arriva una connessione alla
por^Wfrequenza 80 da PIPPO:63273, so che o PIPPO e' on line da una vita
e mezzo, oppure PIPPO sta facendo relay a qualche amico suo. Il che, se
PIPPO corrisponde a un tizio con contratto "single user", e' violazione
del contratto <grin>.
<accento francese>Oui. C'est Linùx. Nous avons beaucoup de patch. Mais,
je ne rappelle un caz di dov'e' che l'e', la patch di ipfw*</francese>.
+++
OVVIAMENTE, un programma puo' richiedere al sistema TCP/IP di usare non
una frequenza a caso, ma una specifica. In questo caso:
a) Un sistema UNIX accetta la richiesta se la porta e' effimera, oppure
se il richiedente e' l'amministratore (root).
b) Un sistema Windows accetta la richiesta.
Il programma SSH e' predisposto per accettare connessioni da ovunque, a
patto che si utilizzi le frequenze amministrative. Questa e' una regola
particolare di SSH. Se si usano le "frequenze" normali, alcune funzioni
specifiche non saranno accessibili.
Leonardo Serni
wrote:
>Leonardo Serni wrote
>> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
>Complimenti, uno dei post più interessanti che ho mai letto.
>Quanto tempo pensi che ci voglia, per arrivare al tuo livello?
Non so. Io sara' una decina d'anni che scavo.
Leonardo Serni
wrote:
>> TCP TOWER:139 *:* LISTEN
>>Questo significa che il MIO computer e' in ascolto sulla frequenza 139,
>>e che qualsiasi computer (*) con qualsiasi frequenza (*) puo' inviare i
>>suoi dati o comandi, e saranno ricevuti.
>Ehm, ma questa e' cosa buona o cosa cattiva?
Tu che ne dici? (1)
Leonardo maieutico
(1) dipende se quell'altro e' amico tuo.
Red Owl
"Manuele Rampazzo" <infinit...@mclink.it> ha scritto nel messaggio
news:2a61m8...@tdop.myip.org...
> Leonardo Serni <ser...@tin.it> wrote:
> LS> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari
prima.
>
> Complimenti! Ma come *diavolo* fai a scrivere in 'sto modo? tutto cosi'
> giustificato alla perfezione? mamma mia...
>
> Ed ora, giusto una curiosita' (trying to be a lamer...)
>
> LS> Come sopra. In questo caso specifico, siamo di fronte all'eccezione
che
> LS> conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte
da
knight
<Evil x...@asck4.i-meil (Evil xx)> ha scritto nel messaggio
news:8lv0vj$ivm$2...@nslave1.tin.it...
> On Sat, 29 Jul 2000 17:52:12 +0200, knight wrote:
> >complimenti leo era ora che qualcuno tirasse fuori un certo repertorio!!
;))
> >ciao ciao
> --
> saluti,
> xEvil x
DElyMyth
<ciottolima...@tin.it> thought people in
it.comp.sicurezza.varie could be interested in reading this:
>ragazzi non ci penso mai per postare di fretta ;))
Ops, ho tirato sotto un tizio mentre guidavo...
Non ci ho pensato perche' andavo di fretta...
PS:
Conta che la roba che per te sono pochi byte propagati per tutto il
mondo diventano qualche mega...
... E la gente continua a lamentarsi che "c'e' poca banda"...
DElyMyth
--
Don't Let Your Fears Stand In The Way Of Your Dreams
--
DEly...@dely-net.com - http://www.dely-net.com/
*Warning*
Mail and web server may be down if I'm *not* online.
--
Paolo Fiore
news:q4g3oscm645vqr816...@4ax.com...
> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Ho sempre il solito dubbio: xche' questa passione sfrenata per gli
ornitorinchi?!?!?!?!?
Operatore
<pgfior...@tin.it> wrote:
>> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
>Ho sempre il solito dubbio: xche' questa passione sfrenata per gli
>ornitorinchi?!?!?!?!?
Sono monot(r)ematico.
Leonardo
Paperino
>
> >Ho sempre il solito dubbio: xche' questa passione sfrenata per gli
> >ornitorinchi?!?!?!?!?
>
> Sono monot(r)ematico.
LOL !
P.S.: e ti piacciono gli America, o mi sbaglio ?
Bye, G.
Leonardo Serni
wrote:
>giustificandoli *senza* alterare gli spazie tra le parole, come riesce
>a fare Leonardo con mia somma costernazione.
Tua, eh? Dovresti sentire quanto si dispera il mio psichiatra.
Leonardo "cosa gliene freghera', poi..."
Leonardo Serni
>complimenti leo era ora che qualcuno tirasse fuori un certo repertorio!! ;))
Riquota un'altra volta tutto un post per rispondere con una riga, e
non sara' per replyarti che ti verranno levate LEMUTANDE.
Mica per cattiveria, ma sei il TERZO che lo fa.
Leonardo Serni
<infinit...@mclink.it> wrote:
>Ed ora, giusto una curiosita' (trying to be a lamer...)
>LS> TCP TOWER:774 kidenas:22 ESTABLISHED
>LS> Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
>LS> conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
>LS> porte amministrative, fra 1 e 1024.
>
>[manu@tdop manu]$ netstat -na | grep 22
>tcp 0 0 192.168.0.1:1027 192.168.0.2:22 ESTABLISHED
>tcp 0 0 192.168.0.1:1024 192.168.0.2:22 ESTABLISHED
>tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
>Il discorso di cui sopra vale solo per windoze?
Nella man page, c'e' scritto questo... a quanto pare quando ho detto
SEMPRE sono stato un tantino eccessivo... :-) RTFM, al solito... :-)
-P Use non priviledged port. With this you cannot use
rhosts or rsarhosts authentications, but it can be
used to bypass some firewalls that dont allow priv
iledged source ports to pass.
UsePriviledgedPort
Specifies whether to use priviledged port when con
necting to other end. The default is yes if rhosts
or rsarhosts authentications are enabled.
INSTALLATION
Ssh is normally installed as suid root. It needs root
privileges only for rhosts authentication (rhosts authen
tication requires that the connection must come from a
privileged port, and allocating such a port requires root
privileges). It also needs to be able to read
/etc/ssh_host_key to perform RSA host authentication. It
is possible to use ssh without root privileges, but rhosts
authentication will then be disabled. Ssh drops any extra
privileges immediately after the connection to the remote
host has been made.
knight
"DElyMyth" <dely...@dely-net.com> ha scritto nel messaggio
news:2j2aos8qf97tl74g9...@4ax.com...
knight
;))
>
> non sara' per replyarti che ti verranno levate LEMUTANDE.
>
> Mica per cattiveria, ma sei il TERZO che lo fa.
>
>
>
> ".signature": bad command or file name
Nick1
<ciottolima...@tin.it> wrote:
snip...
>dimmi elena cosi' va meglio?? ;))
>
Alora i casi sono due : o lo sei o lo fai...
i ognuno dei due casi vedi di finirla.
ok?
-= Nick1 =-
-= SPP Group =-
http://www.spippolatori.com
Nick1
<ciottolima...@tin.it> wrote:
>> ".signature": bad command or file name
>ragazzi ho dei problemi con sto programma cosi' va meglio
>
Se stati tentando di prenderci per il culo ci riesci benissimo....
Altrimenti butta il programma o meglio.... piantala di postare qua!
eidos
Leonardo Serni ha scritto nel messaggio ...
>L'unico limite (principio di esclusione di Pauli) e' che i quattro dati
ma... sei un informatico o un chimico?
<Firebeam IN SERIE B!!!!!!>
> Che, sebbene unbindati da tcp/ip e accesso remoto, continuano a stare
> in ascolto.
> Misteri.
>
> E non posso nemmeno chiuderli, altrimenti addio lan.
> Ma esiste un fw per windows che permetta di scegliere l'interfaccia da
> bloccare, come il caro ipchains?
> *sic*
Ma esiste almeno il modo per disassociarli da "Accesso Remoto" per
lasciarli solo verso la mia nuova 3Com? Po"rca tro"ja (da leggersi
stile Nico - AG&G) il Netbios mi serve per la mia minilan ma non voglio
aprirmi al mondo!
Max che odia le checkbox spuntate ma grigie... 8-[
--
Attenzione: questo messaggio ti e' arrivato dalla rete e
in qualche modo si e' insinuato nel tuo hard disk...
SecurFaq : http://members.xoom.com/gouldukat/
Biancorossi Siamo Noi: http://www.tifonet.it/free/ancona/
<Firebeam IN SERIE B!!!!!!>
> [manu@tdop manu]$ netstat -na | grep 22
> tcp 0 0 192.168.0.1:1027 192.168.0.2:22 ESTABLISHED
> tcp 0 0 192.168.0.1:1024 192.168.0.2:22 ESTABLISHED
> tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
Riguarda il protocollo [tcp|udp]/ip dovunque implementato.
Leonardo Serni
Gia', ho gusti musicali strani, e non resetto i dati di Agent nelle
mie girovagazioni :-)
Leonardo
GoTrax
purred:
><accento francese>Oui. C'est Linùx. Nous avons beaucoup de patch. Mais,
>je ne rappelle un caz di dov'e' che l'e', la patch di ipfw*</francese>.
E per chi usa ipchains? 8)
Scherzi a parte, la cosa e' un po' seccante. Soluzioni, oltre a
cercarsi la patch? :)
GoTrax
B!!!!!!> *purr* purred:
>Ma esiste almeno il modo per disassociarli da "Accesso Remoto" per
>lasciarli solo verso la mia nuova 3Com? Po"rca tro"ja (da leggersi
>stile Nico - AG&G) il Netbios mi serve per la mia minilan ma non voglio
>aprirmi al mondo!
Cosa vuoi dissociare?
Per quanto riguarda tcp/ip, basta che non sia bindato a Client per
Reti Microsoft, netbeui basta che non sia bindato ad Accesso Remoto.
Inoltre controlla che la sk di rete non sia bindata a tcp/ip, se non
ti serve. In questo modo, le porte rimangono (almeno sotto win96a), ma
dovrebbero rifiutare i pacchetti che non provengono dalla tua lan.
Al limite, pigli AtGuard e gli dici di rifiutare qualunque pacchetto
che non venga dalla subnet della tua lan.
Leonardo Serni
<ciottolima...@tin.it> wrote:
>> ".signature": bad command or file name
>ragazzi ho dei problemi con sto programma cosi' va meglio
^K
Molto meglio.
Leonardo Serni
Un informatico. E poi casomai "fisico": ho detto Pauli, mica Pauling :-)
Dario Corti
accorgermi che Leonardo Serni <ser...@tin.it> aveva scritto:
> ^K
ROTLLLLLLLLLL! :-)))))
--
dario...@iol.it
http://dario.eyep.net (dynamic)
ICQ#: 37438061
The only good Windows is an uninstalled Windows, or maybe Windows2K
Leonardo Serni
>><accento francese>Oui. C'est Linùx. Nous avons beaucoup de patch. Mais,
>>je ne rappelle un caz di dov'e' che l'e', la patch di ipfw*</francese>.
>E per chi usa ipchains? 8)
Idem :-)
>Scherzi a parte, la cosa e' un po' seccante. Soluzioni, oltre a
>cercarsi la patch? :)
Nessuna, mi sa.
<Firebeam IN SERIE B!!!!!!>
> Per quanto riguarda tcp/ip, basta che non sia bindato a Client per
> Reti Microsoft, netbeui basta che non sia bindato ad Accesso Remoto.
GRRRRRR la solizione e' sempre nell'unica scheda che ci si scorda di
guradare.
Max che non ha letto le FAQ 8-)
Mardy
<0ghfos4au2o0v4f3b...@4ax.com>...
>
>ROTLLLLLLLLLL! :-)))))
Rolling On The Lamer Laughing?
Saluti,
Mardy
Dario Corti
> Rolling On The Lamer Laughing?
Yes, of course :-)
Buttha
nel post <89rul8.vq.ln@localhost>, scrisse:
> [snip]
mi rispondo da solo, magari a qualcuno puo' essere utile:
in /etc/inetd.conf si mettono in ascolto sulla porta 25 e sulla porta
110 le mie due nuove creature.
Per ora le ho provate solo via telnet e non con un client email, quindi
possono essere perfettibili.
<---------------------------------->
redirezione POP3.
Lo username con cui fare login e':
utente#indirizzo_server_POP3
<---------------------------------->
#!/usr/bin/perl
use IO::Socket;
select(STDOUT); $| = 1; # make unbuffered
print "+OK POP3 Redirector by Buttha Ready\n";
chop($input=<STDIN>);
($junk, $dati)=split(/ /,$input);
($user, $server)=split(/#/,$dati);
$conn = IO::Socket::INET->new(
Proto => "tcp",
PeerAddr => "$server",
PeerPort => "pop3(110)",
)
or die "cannot connect";
$conn->autoflush(1);
$junk=<$conn>;
print $conn "USER $user\n";
$kidpid = fork();
# il blocco if{} e' eseguito dal processo padre
if ($kidpid) {
while (defined ($line = <$conn>)) {
print STDOUT $line;
}
kill("TERM", $kidpid); # spedisce un SIGTERM al figlio
}
# il blocco else{} e' eseguito dal processo figlio
else {
while (defined ($line = <STDIN>)) {
print $conn $line;
}
}
close $conn;
<---------------------------------->
redirezione SMTP
mettere in PeerAddr l'indirizzo del server smtp
<---------------------------------->
#!/usr/bin/perl
use IO::Socket;
select(STDOUT); $| = 1; # make unbuffered
$conn = IO::Socket::INET->new(
Proto => "tcp",
PeerAddr => "indirizzo_server_smtp",
PeerPort => "smtp(25)",
)
or die "cannot connect";
$conn->autoflush(1);
$kidpid = fork();
# il blocco if{} e' eseguito dal processo padre
if ($kidpid) {
while (defined ($line = <$conn>)) {
print STDOUT $line;
}
kill("TERM", $kidpid); # spedisce un SIGTERM al figlio
}
# il blocco else{} e' eseguito dal processo figlio
else {
while (defined ($line = <STDIN>)) {
print $conn $line;
}
}
close $conn;
ciao
Buttha
--
* Per rispondere in email rimuovere la prima i dall'indirizzo
* http://members.xoom.it/buttha/
* Attenzione: attivisti a bassa tecnologia stanno alterando le nostre
pubblicita'
gaston
scritto:
>Per quanto riguarda tcp/ip, basta che non sia bindato a Client per
>Reti Microsoft, netbeui basta che non sia bindato ad Accesso Remoto.
>Inoltre controlla che la sk di rete non sia bindata a tcp/ip, se non
>ti serve. In questo modo, le porte rimangono (almeno sotto win96a), ma
>dovrebbero rifiutare i pacchetti che non provengono dalla tua lan.
Scusate se vado in OT rispetto al thread, tra l' altro molto
istruttivo. Non sono un' esperto ma da me, l' ho impostato così dall'
inizio. Tra l' altro in TCP/IP non è bindato con nulla e protesta, se
vado nell' apposita linguetta, con " non è stato selezionato nessun
driver per il binding" , ma in verità nelle proprietà della scheda
accesso remoto è bindato in TCP/IP.
Il SO è win95 B, opzione accesso a windows, NetBios disabilitato e la
rete da pannello di controllo la rete si presenta così:
Client per reti Microsoft
Driver di Accesso remoto
W30 PCI EthernetCard
NetBEUI -> W30 PCI EthernetCard
Protocollo compatibile IPX/SPX -> W30 PCI EthernetCard
TCP/IP -> Driver di Accesso remoto
Condivisione file e stampanti per reti Microsoft
L' IPX mi serve per i vecchi giochi di mia figlia. Per il resto vi
sembra che sia impostato bene?
Claudio Alla
"gaston" <fi...@SoftHome.netXXX> ha scritto nel messaggio
news:070ros0504nleqt4q...@4ax.com...
(cut)
>
> L' IPX mi serve per i vecchi giochi di mia figlia. Per il resto vi
> sembra che sia impostato bene?
>
giochi...
--
Ciao
Claudio
Home Page:
http://claudioalla.fsn.net
FrOYd
says...
> > L' IPX mi serve per i vecchi giochi di mia figlia. Per il resto vi
> > sembra che sia impostato bene?
> Saro' tardo io, ma non capisco che c'entra il protocollo della netware con i
> giochi...
Doom e Duke 3D, tanto per citare gli esempi piu' noti, sono giochi che,
per funzionare in rete, usavano IPX/SPX e non supportavano TCP/IP.
--
C++u,
FrOYd / DS
Claudio Alla
"FrOYd" <12...@567890.com> ha scritto nel messaggio
> > Saro' tardo io, ma non capisco che c'entra il protocollo della netware
con i
> > giochi...
>
> Doom e Duke 3D, tanto per citare gli esempi piu' noti, sono giochi che,
> per funzionare in rete, usavano IPX/SPX e non supportavano TCP/IP.
>
Non lo sapevo :-)