Il comando NetStat

Glossario informatico: A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Forum Sicurezza Informatica - Iscriviti!!!

I. Uso di Netstat

-------------------------------------------------------

- (Per aprire netstat) - Per aprire Netstat devi fare come segue:

Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca [prompt di Ms-Dos].

Netstat permette di monitorare l'attivita' delle porte del tuo pc, contro eventuali aggressori, che inviano richieste di syn o per verificare le porte in attesa o in collegamento.

Esempio:

~~~~~~~~~~~~~~~~~~~~~~~~

C:\WINDOWS>netstat

Active Connections

  Proto  Local Address          Foreign Address        State

  TCP    pavilion:25872         WARLOCK:1045           ESTABLISHED

  TCP    pavilion:25872         sy-as-09-112.free.net.au:3925  ESTABLISHED

  TCP    pavilion:31580         WARLOCK:1046           ESTABLISHED

  TCP    pavilion:2980          205.188.2.9:5190       ESTABLISHED

  TCP    pavilion:3039          24.66.10.101.on.wave.home.com:1031  ESTABLISHED

~~~~~~~~~~~~~~~~~~~~~~~~

Adesso guarda sull'esempio. Vedrai [Proto] nell'angolo in alto a sinistra.

Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai [Local Address] questo ti dice le porte aperte dell'hostname/IP locale.

Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname della persona e la porta nel formato dell'IP: porta con ":" nel mezzo tra porta ed IP/hostname.

E alla fine vedrai [state] che semplicemente dichiara lo stato della connessione.

Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è in attesa di una connessione.

Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo comando per il monitoraggio dell'attività delle porte e la scoperta di porte aperte in uso.

-------------------------------------------------------

II. Individuazione delle porte aperte

-------------------------------------------------------

Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi e chiudendosi benchè tu non faccia niente. E tu dirai che cazzo sta succedendo... oppure capirai che qualcuno si stia divertendo con un trojan sul tuo computer.

Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere giusto? Bene hai ragione.

Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto c'è un menu di aiuto. Esaminalo.

~~~~~~~~~~~~~~~~~~~~~~~~

C:\WINDOWS>netstat -?

Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo]

  -a            Visualizza tutte le connessioni e le porte di ascolto.

  -e            Visualizza le statistiche Ethernet. L'opzione può essere

                associata all'opzione -s.

  -n            Visualizza gli indirizzi e i numeri di porta in forma numerica.

  -p proto      Visualizza connessioni del protocollo specificato da 'proto';

                'proto' può essere TCP o UDP. Se usato con l'opzione -s per le

                statistiche, 'proto' può essere TCP, UDP, o IP.

  -r            Visualizza la tabella di routing.

  -s            Visualizza le statistiche per protocollo. Per impostazione

                predefinita, le statistiche sono visualizzate per TCP, UDP

                e IP; l'opzione -p può essere utilizzata per specificare

                un sottoinsieme dell'impostazione predefinita.

  intervallo    Rivisualizza le statistiche selezionate, interrompendo

                per un numero di secondi pari a "intervallo" tra ogni

                visualizzazione. Premere CTRL+C per fermare la visualizzazione

                delle statistiche. Se omesso, netstat stamperà le informazioni

                di configurazione correnti una sola volta.

~~~~~~~~~~~~~~~~~~~~~~~~

Io personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le connessioni e le porte aperte nella forma dell'IP invece che dell'hostname. Così come puoi notare come abbia usato il comando: netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in formato numerico(IP))

nestat -an -così facendo vengono eseguite le due opzioni alla volta senza bisogno di dover scrivere -a-n. Adesso che sai come usare netstat per per vedere tutte le tue connessioni e le porte in attesa puoi ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo diventa molto utile per ogni cosa che scoprirai.

Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati per circa 5 minuti e lascia tutto questa sudata per il ritorno pronto ad imparare di più. :)

-------------------------------------------------------

III. SYN e ACK

-------------------------------------------------------

Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei pacchetti sul tuo sistema.

Bene, lasciami dire cosa fanno SYN e ACK.

[SYN] - SYN in parole comuni è una richiesta per una connessione usata nell'handshake 3-way nel TCP/IP. Quando tu mandi una SYN per una connessione, il computer obbiettivo risponderà con una SYN o una ACK. Così principalmente quando vedi nella colonna [state] SYN significa che stai mandando una richiesta per connetterti a qualche cosa.

[ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da un computer che sta provando a connettersi con te. Una volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare indietro un altra SYN al computer che richiede la connessione per confermare che il pacchetto inviato era corretto.

Spero di averti aiutato a capire un pò di più SYN e ACK. Per ulteriori chiarimenti TCP/IP.

Tricker 
M3xican

WolfOtakar.Com