Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Netstat

76 views
Skip to first unread message

X

unread,
Dec 12, 1999, 3:00:00 AM12/12/99
to
Qualcuno potrebbe spiegarmi le "risposte" del comando Netstat -na ? Cosa
significa indirizzo remoto *:*; stato: last_ack, listening, wait, ec..
Perchè la porta dell'indirizzo remoto è diversa da quella dell'indirizzo
locale ???
Grazie...

Leonardo Serni

unread,
Dec 12, 1999, 3:00:00 AM12/12/99
to
"X" <x...@x.com> wrote:

Brevemente: una connessione TCP puo' trovarsi in vari "stati", a seconda
dei casi.

Quando tu ti colleghi a un sito Web, usi una "porta" arbitraria scelta a
caso (Windows parte da 1025 e incrementa d'uno ogni volta; quando arriva
a 65535, credo che si inchiodi <grin>) e ti connetti alla "porta" 80 che
e' assegnata al servizio HTTP (vedi il file C:\WINDOWS\SERVICES ; se hai
un sistema operativo installato, forse e' su /etc/services).

La connessione inizia in stato nullo; tu invii al server un pacchetto di
dati con un flag SYN, per fargli capire che esisti. Lui ti sente e manda
un pacchetto con flag ACK ("ACKnowledged"="ti ho sentito"). Tu mandi una
risposta alla risposta, SYN+ACK.

Dopo che hai mandato il SYN, il tuo socket e' in stato SYN_SENT, che per
alcuni viene chiamato invece ACK_WAIT (e' il discorso del bicchiere, che
puo' essere mezzo pieno o mezzo vuoto).

Se il server e' pronto a ricevere dati, il suo socket e' in stato LISTEN
(in ascolto), e il tuo SYN e' ricevuto; altrimenti rispondera' con altri
flags, che variano a seconda dello stack e altre cose, e possono essere:
RST Linux, vari Unix
RST+ACK Windows 95,98,NT
RST+ACK+OOB Windows 2000 (?)
PSH+OOB Thorin
md

Quando si completa questo cosiddetto handshake a tre {stadi|vie}, allora
il socket passa in stato ESTABLISHED.

Quando alla fine uno dei due vuole chiudere la connessione, manda ancora
un altro flag, FIN, e passa in stato di FIN_WAIT1. L'altro invia ACK per
dire che ha sentito il FIN; il primo risponde con FIN+ACK e passa ad uno
stato di TIME_WAIT, per impedire al sistema di riusare quel socket. Allo
scadere di un timeout, il socket e' distrutto e le risorse liberate.

{Ripesco a memoria, non ho voglia di pensarci. PIU' O MENO funziona come
ho detto <grin>}.

Gli stati riconosciuti dal mio NETSTAT sono:

SYN_SENT
SYN_RECV
FIN_WAIT1
FIN_WAIT2
TIME_WAIT
CLOSE
CLOSING
CLOSE_WAIT
LAST_ACK
LISTEN
UNKNOWN

Gli stati che ti interessano sono due soli:

ESTABLISHED connessione TCP in corso
LISTEN il *TUO* PC sta aspettando una connessione
(caratteristico di varie backdoors)

Attenzione che l'indirizzo locale, per un LISTEN "pericoloso", DEVE essere,
tassativamente, 0.0.0.0, oppure l'IP assegnato dal provider. 127.0.0.1, per
chiarire, e' una robaccia del tutto innocua.

Leonardo


".signature": bad command or file name

Firebeam (Massimiliano Baldinelli)

unread,
Dec 13, 1999, 3:00:00 AM12/13/99
to
Leonardo Serni wrote:

> stato di TIME_WAIT, per impedire al sistema di riusare quel socket. Allo
> scadere di un timeout, il socket e' distrutto e le risorse liberate.

O, se non si ha un sistema operativo, allo shutdown. <EVIL GRIN>

Buttha

unread,
Dec 15, 1999, 3:00:00 AM12/15/99
to
Leonardo Serni <ser...@tin.it>, nel post
<dlj75sc3on7bgab65...@4ax.com>, scrisse:

> Se il server e' pronto a ricevere dati, il suo socket e' in stato LISTEN
> (in ascolto), e il tuo SYN e' ricevuto; altrimenti rispondera' con altri
> flags, che variano a seconda dello stack e altre cose, e possono essere:
> RST Linux, vari Unix
> RST+ACK Windows 95,98,NT
> RST+ACK+OOB Windows 2000 (?)
> PSH+OOB Thorin
> md

ROTFL

> Attenzione che l'indirizzo locale, per un LISTEN "pericoloso", DEVE essere,
> tassativamente, 0.0.0.0, oppure l'IP assegnato dal provider. 127.0.0.1, per
> chiarire, e' una robaccia del tutto innocua.

questo fantomatico 0.0.0.0, come indirizzo locale, cosa rappresenta? Il
fatto che non abbiamo ancora avuto un IP? Oppure il fatto che sta
ascoltando su tutte le possibili interfacce? Insomma: che e'?

ciao
Buttha
--
* Per rispondere in email rimuovere una i dall'indirizzo
* http://members.xoom.it/buttha/
* Non avete ragione di credere a questa frase

Leonardo Serni

unread,
Dec 16, 1999, 3:00:00 AM12/16/99
to
Giuseppe <aaa...@aajklasdnooaa.net> wrote:

>---dopo un riavvio---

> Proto Indirizzo locale Indirizzo remoto Stato
> TCP 0.0.0.0:1026 0.0.0.0:18602 LISTENING
> TCP 0.0.0.0:135 0.0.0.0:43239 LISTENING
> TCP 0.0.0.0:135 0.0.0.0:26861 LISTENING
> TCP 127.0.0.1:1025 0.0.0.0:10487 LISTENING
> TCP 127.0.0.1:1025 127.0.0.1:1026 ESTABLISHED
> TCP 127.0.0.1:1026 127.0.0.1:1025 ESTABLISHED
> UDP 0.0.0.0:135 *:*

Questo buffo comportamento ha cominciato a farmelo un NT Workstation con
Service Pack 3, dopo aver installato il server di un RIP via rete. Credo
che non significhi niente. Ho visto pero' che mi ha cambiato il NETSTAT,
probabilmente per nascondere la gragnuola di TIME_WAIT che mi genera (e'
un programma _piuttosto_ inefficiente, ma ha una taratura del colore che
leva di 'ulo).

Leonardo Serni

unread,
Dec 16, 1999, 3:00:00 AM12/16/99
to
Buttha <but...@iiname.com> wrote:

>> Attenzione che l'indirizzo locale, per un LISTEN "pericoloso", DEVE essere,
>> tassativamente, 0.0.0.0, oppure l'IP assegnato dal provider. 127.0.0.1, per
>> chiarire, e' una robaccia del tutto innocua.

>questo fantomatico 0.0.0.0, come indirizzo locale, cosa rappresenta? Il
>fatto che non abbiamo ancora avuto un IP? Oppure il fatto che sta
>ascoltando su tutte le possibili interfacce?

La seconda. La seconda c'hai detto.

Antonio Magri'

unread,
Dec 17, 1999, 3:00:00 AM12/17/99
to
Buttha,
0.0.0.0 e' l'indirizzo di default, infatti, a conferma di questo, se dai il
comando Route print (da console), dovresti avere un output simile a questo
(naturalmente senza le xxx che ho usato per nascondere gli indirizzi reali)

Active Routes:
Network Destination Netmask Gateway Interface
Metric
0.0.0.0 0.0.0.0 195.xxx.xxx.33
195.xxx.xxx.38 1
127.0.0.0 255.0.0.0 127.0.0.1
127.0.0.1 1
195.xxx.xxx.32 255.255.255.224 195.xxx.xxx.38 195.xxx.xxx.38
1
195.xxx.xxx.38 255.255.255.255 127.0.0.1
127.0.0.1 1
195.xxx.xxx.255 255.255.255.255 195.xxx.xxx.38 195.xxx.xxx.38
1
224.0.0.0 224.0.0.0 195.xxx.xxx.38
195.xxx.xxx.38 1
255.255.255.255 255.255.255.255 195.xxx.xxx.38 195.xxx.xxx.38
1
Default Gateway: 195.xxx.xxx.33
===========================================================================
Persistent Routes:
None

Se hai altre domande, sono a tua disposizione.

Alla prossima.

Antonio Magri'
ama...@hotmail.com
http://amagri.tripod.com

"Buttha" <but...@iiname.com> wrote in message
news:l22838...@localhost.localdomain...


> Leonardo Serni <ser...@tin.it>, nel post
> <dlj75sc3on7bgab65...@4ax.com>, scrisse:
>
> > Se il server e' pronto a ricevere dati, il suo socket e' in stato LISTEN
> > (in ascolto), e il tuo SYN e' ricevuto; altrimenti rispondera' con altri
> > flags, che variano a seconda dello stack e altre cose, e possono essere:
> > RST Linux, vari Unix
> > RST+ACK Windows 95,98,NT
> > RST+ACK+OOB Windows 2000 (?)
> > PSH+OOB Thorin
> > md
>
> ROTFL
>

> > Attenzione che l'indirizzo locale, per un LISTEN "pericoloso", DEVE
essere,
> > tassativamente, 0.0.0.0, oppure l'IP assegnato dal provider. 127.0.0.1,
per
> > chiarire, e' una robaccia del tutto innocua.
>
> questo fantomatico 0.0.0.0, come indirizzo locale, cosa rappresenta? Il
> fatto che non abbiamo ancora avuto un IP? Oppure il fatto che sta

Buttha

unread,
Dec 18, 1999, 3:00:00 AM12/18/99
to
Antonio Magri' <ama...@hotmail.com>, nel post
<83d17v$sa8$1...@fe1.cs.interbusiness.it>, scrisse:

> Se hai altre domande, sono a tua disposizione.

molto gentile :)

ciao
Buttha
--
* Per rispondere in email rimuovere una i dall'indirizzo
* http://members.xoom.it/buttha/

* Inoffensiva proclamazione fascista-conservatrice-liberal-comunista

0 new messages