Leggere l'output di NETSTAT
Leonardo Serni
Orbene, diciamo che abbiamo aperto il nostro prompt di MS-DOS e dato, in
finestra, il comando
NETSTAT -a
(il comando NETSTAT -na e' uguale, solo piu' veloce, perche' non sta li'
a perder tempo a risolvere gli indirizzi IP nei nomi corrispondenti).
e diciamo che mi ha dato qualcosa del tipo:
C:\WINDOWS\Desktop>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP TOWER:1025 klinure:nbsession ESTABLISHED
TCP TOWER:774 kidenas:22 ESTABLISHED
TCP TOWER:1038 kidenas:22 ESTABLISHED
TCP TOWER:139 *:* LISTEN
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
TCP TOWER:1042 mail.ornitorinchi.org:25 ESTABLISHED
TCP TOWER:1043 mail.ornitorinchi.org:110 ESTABLISHED
TCP TOWER:1026 TOWER:110 ESTABLISHED
TCP TOWER:110 *:* LISTEN
TCP TOWER:20034 *:* LISTEN
UDP TOWER:nbname *:*
UDP TOWER:nbdatagram *:*
Vediamo come si leggono queste benedette righe.
La colonna PROTO indica il protocollo di comunicazione, che per Windows
e' TCP (Transmission Control Protocol) o UDP ("Unreliable" ;-) Datagram
Protocol).
L'indirizzo locale non e' altro che il nome del MIO PC, nome che potrei
avere dato io ("PIPPO"), il mio network administrator ("C06160280503"),
o magari, un CD-ROM preso in edicola con Free Internet ("LIBERO"). Fino
a che non cambio il nome io, da Risorse di Rete -> Proprieta', rimarra'
il nome impostato.
L'indirizzo locale e' seguito da due punti e dalla frequenza utilizzata
per lo scambio dati. Un computer opera nella gamma di frequenze da 1 su
su fino ai 65535 megaportz. Le frequenze da 1 a 1024 sono riservate per
gli usi di sistema, tipo le frequenze della polizia.
Su un sistema Unix, solo l'amministratore puo' ricevere (o trasmettere)
nella banda da 1 a 1024 megaportz :-).
A differenza delle onde radio, dove chi parla e chi ascolta devono, per
forza di cose, stare sulla stessa frequenza, e su una frequenza possono
parlare solo uno per volta (se vogliono capirsi! ;-) ), Internet non ha
questo limite.
Cosi', un server Web sta in ascolto sulle frequenze 80 e 443 (questa e'
la frequenza per trasmissioni crittografate, ad uso carta di credito et
similia), ma su ciascuna puo' condurre moltissime connessioni. Inoltre,
anche il chiamante puo' parlare usando piu' frequenze.
L'unico limite (principio di esclusione di Pauli) e' che i quattro dati
caratteristici (chiamante, frequenza chiamante, ricevente, freq. ric.),
non possono essere tutti e quattro uguali. Fra due hosts, quindi, posso
avere anche piu' di una connessione attiva. In questo esempio:
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
...sto scaricando (o provandoci!) DUE immagini contemporaneamente da un
sito Web. Netscape ha un apposito setup per impostare il massimo numero
di connessioni simultanee ammesse.
Lo STATE indica in che stato e' la connessione.
Per esempio, se ho un programma ricevente sul mio PC, in attesa di dati
o comandi dall'esterno (che so: una bella backdoor!), mi comparira' una
entry del tipo
TCP TOWER:20034 *:* LISTEN
dove "LISTEN" significa appunto che il sistema sta "ascoltando" in modo
da sapere se i suoi servigii sono richiesti.
Quando mi collego a un sito Web, quel sito Web avra' la frequenza 80 in
stato LISTEN. E sara' bene, se no col fischio che ci navigo sopra :-)
Quando inizio a collegarmi, lo stato passa da SYN_SENT, SYN_ACK, fino a
un glorioso ESTABLISHED ("comunicazione in corso"). Quando termina, non
ripete al contrario la sequenza, ma passa da FIN, FIN_WAIT, a FIN2_WAIT
fino a CLOSE. Dopo un po', la frequenza viene sganciata del tutto, e il
programma NETSTAT cessa di far vedere la riga.
Le frequenze assegnate a dati servizi di rete sono standardizzate dalla
IANA e alcune sono riportate in /etc/services, o C:\WINDOWS\SERVICES, a
seconda che abbiate un sistema operativo o meno <grin>.
Nessuno vieta di fare la scempiaggine di mettere un servizio in ascolto
su una frequenza impropria. Nessuno vieta ad un fruttivendolo di andare
al banco dell'ufficio anagrafe del Comune ("Mi serve il certificato per
la casa..." "Ecco qua, ora glielo taglio in due, cosi' vede la polpa...
con questo caldo e' quello che ci vuole, tenga, lo metta in ghiacciaia,
sono tre chili boni... melone, punto?"). Pero', la conversazione assume
aspetti surreali, e i risultati non saranno quelli desiderati.
Alla luce di quanto sopra rileggiamo le righe:
TCP TOWER:1025 klinure:nbsession ESTABLISHED
E' una connessione, in corso. Dato che la MIA porta e' 1025, mentre sul
sistema Klinure e' nbsession, che e' una porta riservata, significa CON
OGNI PROBABILITA' (certezze mai!) che sono stato IO ad aprire un link a
Klinure, sulla porta nbsession di Klinure.
TCP TOWER:774 kidenas:22 ESTABLISHED
Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
porte amministrative, fra 1 e 1024.
TCP TOWER:139 *:* LISTEN
Questo significa che il MIO computer e' in ascolto sulla frequenza 139,
e che qualsiasi computer (*) con qualsiasi frequenza (*) puo' inviare i
suoi dati o comandi, e saranno ricevuti.
TCP TOWER:1033 www.ornitorinchi.org:80 SYN_SENT
Qui io ho iniziato una connessione Web (80), ma ancora non e' passata a
ESTABLISHED. Fra pochi secondi probabilmente lo fara'.
TCP TOWER:1039 www.ornitorinchi.org:80 FIN_WAIT
Qui sto CHIUDENDO una connessione allo stesso sito.
TCP TOWER:1042 mail.ornitorinchi.org:25 ESTABLISHED
TCP TOWER:1043 mail.ornitorinchi.org:110 ESTABLISHED
Queste sono due connessioni a un server ("mail.ornitorinchi.org") sulle
frequenze Posta in Partenza (25) e Posta in Arrivo (110).
TCP TOWER:1026 TOWER:110 ESTABLISHED
Questo sono... io, che mi collego a... me stesso. Curioso.
TCP TOWER:110 *:* LISTEN
E questo sono io, che aspetto connessioni sulla porta 110, di Posta In
Arrivo.
Quello che succede e' probabilmente questo: sul mio PC c'e' "qualcosa"
che fa finta di essere un server di posta. Questo qualcosa si collega,
poi, al vero server di posta. L'uso piu' probabile per questo rimbalzo
e' leggere la posta prima che io la scarichi. Per esempio, per vederne
il contenuto ed eliminarne possibili virus; oppure per copiarla e fare
spionaggio industriale, chissa'.
TCP TOWER:20034 *:* LISTEN
Qui c'e' un programma in attesa su una frequenza altissima ed usata da
pochissimi. Questo e' molto sospetto. Una passata d'antivirus trovera'
con ogni probabilita' la backdoor NetBUS.
UDP TOWER:nbname *:*
UDP TOWER:nbdatagram *:*
Questi sono due servizi typycamente Windows, da sempre in ascolto :-)
Leonardo
".signature": bad command or file name
Nello
mi sa che me lo stampo, lo metto nel cuscino e ci dormo sopra :=)
complimenti cmq bel post...ne aspettiamo altri
"Leonardo Serni" <ser...@tin.it> ha scritto nel messaggio
news:q4g3oscm645vqr816...@4ax.com...
Kobe B.
>Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
>
grazie e complimenti per la completezza
ciao
Hamlet
Leonardo Serni wrote
> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Complimenti, uno dei post più interessanti che ho mai letto.
Quanto tempo pensi che ci voglia, per arrivare al tuo livello?
mAyhEm
>
> Orbene, diciamo che abbiamo aperto il nostro prompt di MS-DOS e dato, in
> finestra, il comando
>
> NETSTAT -a
>
> (il comando NETSTAT -na e' uguale, solo piu' veloce, perche' non sta li'
> a perder tempo a risolvere gli indirizzi IP nei nomi corrispondenti).
>
> e diciamo che mi ha dato qualcosa del tipo:
snip...
va beh... adesso uno dice ste cose si aspetta che la gente capisca, magari
che smetta di postare pagine e pagine di netsat contenenti gli ip dei piu'
visitati siti hard e web-chat... ed io che faccio nel tempo libero? leggo i
tuoi post? ho un esempio in mente... ma poi ne riparliamo....
> ".signature": bad command or file name
cd
echo cosa bisogna scrivere in questo riquadro? > .signature
un mayhem risolutore. anche di excel on demand.
--
cosa bisogna scrivere in questo riquadro?
knight
ciao ciao
GoTrax
purred:
>Questi sono due servizi typycamente Windows, da sempre in ascolto :-)
Che, sebbene unbindati da tcp/ip e accesso remoto, continuano a stare
in ascolto.
Misteri.
E non posso nemmeno chiuderli, altrimenti addio lan.
Ma esiste un fw per windows che permetta di scegliere l'interfaccia da
bloccare, come il caro ipchains?
*sic*
Carlo Fusco
> Leonardo Serni wrote
>> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
> Complimenti, uno dei post più interessanti che ho mai letto.
> Quanto tempo pensi che ci voglia, per arrivare al tuo livello?
Se ti ricordi in quella bella serie televisiva, prodotta nei primi
anni settanta, dal fuorviante titolo di Kungfu il giovane apprendista
per poter iniziare le durissime prove prima di diventare monaco doveva
riuscire a prendere dalla mano di uno dei suoi maestri un sassolino.
In questo caso *forse* basterebbe formattare i propri articoli
giustificandoli *senza* alterare gli spazie tra le parole, come riesce
a fare Leonardo con mia somma costernazione.
--
Ciao
cf
ŠŽô+äLő "Darude" ł˛š
> L'indirizzo locale non e' altro che il nome del MIO PC, nome che potrei
> avere dato io ("PIPPO"), il mio network administrator ("C06160280503"),
> o magari, un CD-ROM preso in edicola con Free Internet ("LIBERO"). Fino
> a che non cambio il nome io, da Risorse di Rete -> Proprieta', rimarra'
> il nome impostato.
Nome che, nel caso in cui non si abbia installata la Rete (tipo accesso
Dial-Up avendo preventivamente eliminato l'Accesso di Gruppo
Personalizzato), puo' essere modificato agendo nel Registro di
Configurazione. Devotamente:
©®ô+äLõ "Darude" ³²¹
Orfeo 137
Leonardo Serni <ser...@tin.it> wrote in message
q4g3oscm645vqr816...@4ax.com...
> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Mi sembrava superfluo farlo ma visto che molti lo hanno fatto
vorrei esprimere anchio la soddisfazione che si prova nel leggere
i post di Leonardo, ormai Nume Tutelare di questo ng.
( non me ne vogliano gli altri...tutti molto bravi )
--
********************************************************************
BA9C 80F3 A165 0B91 EE13 9BEA 239E E955 A14E E281
********************************************************************
Manuele Rampazzo
LS> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Complimenti! Ma come *diavolo* fai a scrivere in 'sto modo? tutto cosi'
giustificato alla perfezione? mamma mia...
Ed ora, giusto una curiosita' (trying to be a lamer...)
LS> TCP TOWER:774 kidenas:22 ESTABLISHED
LS> Come sopra. In questo caso specifico, siamo di fronte all'eccezione che
LS> conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte da
LS> porte amministrative, fra 1 e 1024.
[manu@tdop manu]$ netstat -na | grep 22
tcp 0 0 192.168.0.1:1027 192.168.0.2:22 ESTABLISHED
tcp 0 0 192.168.0.1:1024 192.168.0.2:22 ESTABLISHED
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
Il discorso di cui sopra vale solo per windoze?
Grazie, ciao!
--
| Manuele Rampazzo - I really like Linux | ... |
|----------------------------------------| Your flesh is nice |
| http://www.geocities.com/mrampazzo | I wanna take you twice |
| ** infinito (at) mclink (dot) it ** | ... |
Lyapunov
Nello wrote:
>
> bella leonardo,
> mi sa che me lo stampo, lo metto nel cuscino e ci dormo sopra :=)
> complimenti cmq bel post...ne aspettiamo altri
[snip]
Lo scopo di Leonardo era quello di fare una micro-FAQ su netstat
al fine di limitare i post sull'argomento.
Trovi che fosse proprio necessario rispondere per ringraziare quotando
integralmente il suo post?
Ciao.
Lyapunov
Carlo Fusco wrote:
> In questo caso *forse* basterebbe formattare i propri articoli
> giustificandoli *senza* alterare gli spazie tra le parole, come riesce
> a fare Leonardo con mia somma costernazione.
...con somma invidia di tuti, oserei dire! [grrr!!!] ;-D
Red Owl
"Manuele Rampazzo" <infinit...@mclink.it> ha scritto nel messaggio
news:2a61m8...@tdop.myip.org...
> Leonardo Serni <ser...@tin.it> wrote:
> LS> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari
prima.
>
> Complimenti! Ma come *diavolo* fai a scrivere in 'sto modo? tutto cosi'
> giustificato alla perfezione? mamma mia...
>
> Ed ora, giusto una curiosita' (trying to be a lamer...)
>
> LS> Come sopra. In questo caso specifico, siamo di fronte all'eccezione
che
> LS> conferma la regola: le connessioni alla porta "22" sono SEMPRE fatte
da
knight
<Evil x...@asck4.i-meil (Evil xx)> ha scritto nel messaggio
news:8lv0vj$ivm$2...@nslave1.tin.it...
> On Sat, 29 Jul 2000 17:52:12 +0200, knight wrote:
> >complimenti leo era ora che qualcuno tirasse fuori un certo repertorio!!
;))
> >ciao ciao
> --
> saluti,
> xEvil x
DElyMyth
<ciottolima...@tin.it> thought people in
it.comp.sicurezza.varie could be interested in reading this:
>ragazzi non ci penso mai per postare di fretta ;))
Ops, ho tirato sotto un tizio mentre guidavo...
Non ci ho pensato perche' andavo di fretta...
PS:
Conta che la roba che per te sono pochi byte propagati per tutto il
mondo diventano qualche mega...
... E la gente continua a lamentarsi che "c'e' poca banda"...
DElyMyth
--
Don't Let Your Fears Stand In The Way Of Your Dreams
--
DEly...@dely-net.com - http://www.dely-net.com/
*Warning*
Mail and web server may be down if I'm *not* online.
--
Paolo Fiore
news:q4g3oscm645vqr816...@4ax.com...
> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
Ho sempre il solito dubbio: xche' questa passione sfrenata per gli
ornitorinchi?!?!?!?!?
Operatore
<pgfior...@tin.it> wrote:
>> Visto che e' la stagione di NETSTAT, preferisco correre ai ripari prima.
>Ho sempre il solito dubbio: xche' questa passione sfrenata per gli
>ornitorinchi?!?!?!?!?
Sono monot(r)ematico.
Leonardo
Paperino
>
> >ornitorinchi?!?!?!?!?
>
> Sono monot(r)ematico.
LOL !
P.S.: e ti piacciono gli America, o mi sbaglio ?
Bye, G.
knight
"DElyMyth" <dely...@dely-net.com> ha scritto nel messaggio
news:2j2aos8qf97tl74g9...@4ax.com...
eidos
Leonardo Serni ha scritto nel messaggio ...
>L'unico limite (principio di esclusione di Pauli) e' che i quattro dati
ma... sei un informatico o un chimico?
<Firebeam IN SERIE B!!!!!!>
> Che, sebbene unbindati da tcp/ip e accesso remoto, continuano a stare
> in ascolto.
> Misteri.
>
> E non posso nemmeno chiuderli, altrimenti addio lan.
> Ma esiste un fw per windows che permetta di scegliere l'interfaccia da
> bloccare, come il caro ipchains?
> *sic*
Ma esiste almeno il modo per disassociarli da "Accesso Remoto" per
lasciarli solo verso la mia nuova 3Com? Po"rca tro"ja (da leggersi
stile Nico - AG&G) il Netbios mi serve per la mia minilan ma non voglio
aprirmi al mondo!
Max che odia le checkbox spuntate ma grigie... 8-[
--
Attenzione: questo messaggio ti e' arrivato dalla rete e
in qualche modo si e' insinuato nel tuo hard disk...
SecurFaq : http://members.xoom.com/gouldukat/
Biancorossi Siamo Noi: http://www.tifonet.it/free/ancona/
<Firebeam IN SERIE B!!!!!!>
> [manu@tdop manu]$ netstat -na | grep 22
> tcp 0 0 192.168.0.1:1027 192.168.0.2:22 ESTABLISHED
> tcp 0 0 192.168.0.1:1024 192.168.0.2:22 ESTABLISHED
> tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
Riguarda il protocollo [tcp|udp]/ip dovunque implementato.
GoTrax
B!!!!!!> *purr* purred:
>Ma esiste almeno il modo per disassociarli da "Accesso Remoto" per
>lasciarli solo verso la mia nuova 3Com? Po"rca tro"ja (da leggersi
>stile Nico - AG&G) il Netbios mi serve per la mia minilan ma non voglio
>aprirmi al mondo!
Cosa vuoi dissociare?
Per quanto riguarda tcp/ip, basta che non sia bindato a Client per
Reti Microsoft, netbeui basta che non sia bindato ad Accesso Remoto.
Inoltre controlla che la sk di rete non sia bindata a tcp/ip, se non
ti serve. In questo modo, le porte rimangono (almeno sotto win96a), ma
dovrebbero rifiutare i pacchetti che non provengono dalla tua lan.
Al limite, pigli AtGuard e gli dici di rifiutare qualunque pacchetto
che non venga dalla subnet della tua lan.
<Firebeam IN SERIE B!!!!!!>
> Per quanto riguarda tcp/ip, basta che non sia bindato a Client per
> Reti Microsoft, netbeui basta che non sia bindato ad Accesso Remoto.
GRRRRRR la solizione e' sempre nell'unica scheda che ci si scorda di
guradare.
Max che non ha letto le FAQ 8-)
gaston
scritto:
>Per quanto riguarda tcp/ip, basta che non sia bindato a Client per
>Reti Microsoft, netbeui basta che non sia bindato ad Accesso Remoto.
>Inoltre controlla che la sk di rete non sia bindata a tcp/ip, se non
>ti serve. In questo modo, le porte rimangono (almeno sotto win96a), ma
>dovrebbero rifiutare i pacchetti che non provengono dalla tua lan.
Scusate se vado in OT rispetto al thread, tra l' altro molto
istruttivo. Non sono un' esperto ma da me, l' ho impostato così dall'
inizio. Tra l' altro in TCP/IP non è bindato con nulla e protesta, se
vado nell' apposita linguetta, con " non è stato selezionato nessun
driver per il binding" , ma in verità nelle proprietà della scheda
accesso remoto è bindato in TCP/IP.
Il SO è win95 B, opzione accesso a windows, NetBios disabilitato e la
rete da pannello di controllo la rete si presenta così:
Client per reti Microsoft
Driver di Accesso remoto
W30 PCI EthernetCard
NetBEUI -> W30 PCI EthernetCard
Protocollo compatibile IPX/SPX -> W30 PCI EthernetCard
TCP/IP -> Driver di Accesso remoto
Condivisione file e stampanti per reti Microsoft
L' IPX mi serve per i vecchi giochi di mia figlia. Per il resto vi
sembra che sia impostato bene?
Claudio Alla
"gaston" <fi...@SoftHome.netXXX> ha scritto nel messaggio
news:070ros0504nleqt4q...@4ax.com...
(cut)
>
> L' IPX mi serve per i vecchi giochi di mia figlia. Per il resto vi
> sembra che sia impostato bene?
>
giochi...
--
Ciao
Claudio
Home Page:
http://claudioalla.fsn.net
FrOYd
says...
> > L' IPX mi serve per i vecchi giochi di mia figlia. Per il resto vi
> > sembra che sia impostato bene?
> Saro' tardo io, ma non capisco che c'entra il protocollo della netware con i
> giochi...
Doom e Duke 3D, tanto per citare gli esempi piu' noti, sono giochi che,
per funzionare in rete, usavano IPX/SPX e non supportavano TCP/IP.
--
C++u,
FrOYd / DS
Claudio Alla
"FrOYd" <12...@567890.com> ha scritto nel messaggio
> > Saro' tardo io, ma non capisco che c'entra il protocollo della netware
con i
> > giochi...
>
> Doom e Duke 3D, tanto per citare gli esempi piu' noti, sono giochi che,
> per funzionare in rete, usavano IPX/SPX e non supportavano TCP/IP.
>
Non lo sapevo :-)