Informazioni su IP e porte usando Netstat

Informazioni su IP e porte usando Netstat
Scritto da M3xican
Indice dei contenuti:
------------------------------------------------------INTRODUZIONE
I. Uso di Netstat
II. Individuazione delle porte aperte
III. SYN e ACK
IV. Usando Netstat per ICQ e AIM
V. Altri usi
VI. strumenti e accessori
VII. Due trucchi veloci
CONCLUSIONE
------------------------------------------------------INTRODUZIONE
------------------------------------------------------Salve grazie per stare leggendo questo testo per imparare di più sull'uso
di netstat affinchè ti sia di aiuto.
Per favore non curarti di qualsiasi errore di ortografia, punteggiatura
o grammaticale.
Questo testo è scritto in modo che anche il lettore medio lo possa comprenderlo.
Non per complicarlo. Per favore siate liberi di inviarmi email.
------------------------------------------------------I. Uso di Netstat
------------------------------------------------------- (Per aprire netstat) - Per aprire Netstat devi fare come segue:
Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca
[prompt di Ms-Dos].
Netstat è uno strumento davvero utile che ha molti usi. Io personalmente
uso netstat per prendere gli indirizzi IP di altri utenti con cui sto
parlando su ICQ o AIM. Puoi usare netstat anche per monitorare l'attività
delle tue porte contro aggressori che inviano richieste di syn (parte
del TCP/IP 3-way-handshake) o solo per vedere quali porte stanno in
attesa/in collegamento. Guarda l'esempio sotto per una rappresentazione
media di una risposta alla digitazione di [netstat] al prompt 'c:'
~~~~~~~~~~~~~~~~~~~~~~~~
C:WINDOWS>netstat
Active Connections
Proto
TCP
TCP
TCP
TCP
Local Address
pavilion:25872
pavilion:25872
pavilion:31580
pavilion:2980
Foreign Address
State
WARLOCK:1045
ESTABLISHED
sy-as-09-112.free.net.au:3925 ESTABLISHED
WARLOCK:1046
ESTABLISHED
205.188.2.9:5190
ESTABLISHED
1/5
Informazioni su IP e porte usando Netstat
Scritto da M3xican
TCP pavilion:3039
24.66.10.101.on.wave.home.com:1031 ESTABLISHED
~~~~~~~~~~~~~~~~~~~~~~~~
Adesso guarda sull'esempio. Vedrai [Proto] nell'angolo in alto a sinistra.
Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai
[Local Address] questo ti dice le porte aperte dell'hostname/IP locale.
Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname
della persona e la porta nel formato dell'IP: porta con ":" nel mezzo tra
porta ed IP/hostname.
E alla fine vedrai [state] che semplicemente dichiara lo stato della
connessione.
Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING
se si è in attesa di una connessione.
Adesso con queste conoscenze ci tufferemo nel profondo di come usare
questo comando per il monitoraggio dell'attività delle porte e la
scoperta di porte aperte in uso.
------------------------------------------------------------------------------------------------------------II. Individuazione delle porte aperte
------------------------------------------------------Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer?
Lo sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi
e chiudendosi benchè tu non faccia niente. E tu dirai che cazzo sta
succedendo... oppure capirai che qualcuno si stia divertendo con un
trojan sul tuo computer .
Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo
rimuovere giusto? Bene hai ragione.
Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare
netstat e sotto c'è un menu di aiuto. Esaminalo.
~~~~~~~~~~~~~~~~~~~~~~~~
C:WINDOWS>netstat -?
Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo]
-a
-e
Visualizza tutte le connessioni e le porte di ascolto.
Visualizza le statistiche Ethernet. L'opzione può essere
associata all'opzione -s.
-n
Visualizza gli indirizzi e i numeri di porta in forma numerica.
-p proto
Visualizza connessioni del protocollo specificato da 'proto';
'proto' può essere TCP o UDP. Se usato con l'opzione -s per le
statistiche, 'proto' può essere TCP, UDP, o IP.
-r
Visualizza la tabella di routing.
-s
Visualizza le statistiche per protocollo. Per impostazione
2/5
Informazioni su IP e porte usando Netstat
Scritto da M3xican
predefinita, le statistiche sono visualizzate per TCP, UDP
e IP; l'opzione -p può essere utilizzata per specificare
un sottoinsieme dell'impostazione predefinita.
intervallo Rivisualizza le statistiche selezionate, interrompendo
per un numero di secondi pari a "intervallo" tra ogni
visualizzazione. Premere CTRL+C per fermare la visualizzazione
delle statistiche. Se omesso, netstat stamperà le informazioni
di configurazione correnti una sola volta.
~~~~~~~~~~~~~~~~~~~~~~~~
Io personalmente preferisco usare (c:windowsnetstat -an) che mostra
tutte le connessioni e le porte aperte nella forma dell'IP invece che
dell'hostname. Così come puoi notare come abbia usato il comando:
netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in
formato numerico(IP))
nestat -an -così facendo vengono eseguite le due opzioni alla volta
senza bisogno di dover scrivere -a-n. Adesso che sai come usare netstat
per per vedere tutte le tue connessioni e le porte in attesa puoi
ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio
subseven) ecc.. questo diventa molto utile per ogni cosa che scoprirai.
Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati
per circa 5 minuti e lascia tutto questa sudata per il ritorno pronto ad
imparare di più. :)
------------------------------------------------------III. SYN e ACK
------------------------------------------------------Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei
pacchetti sul tuo sistema.
Bene, lasciami dire cosa fanno SYN e ACK.
[SYN] - SYN in parole comuni è una richiesta per una connessione usata
nell'handshake 3-way nel TCP/IP. Quando tu mandi una SYN per una
connessione, il computer obbiettivo risponderà con una SYN o una ACK.
Così principalmente quando vedi nella colonna [state] SYN significa
che stai mandando una richiesta per connetterti a qualche cosa.
[ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da
un computer che sta provando a connettersi con te. Una volta che una
SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare
indietro un altra SYN al computer che richiede la connessione per
confermare che il pacchetto inviato era corretto.
Spero di averti aiutato a capire un pò di più SYN e ACK. Se hai
ulteriori domande prova a cercare testi sul TCP/IP.
Adesso andiamo nelle cose divertenti.
-------------------------------------------------------
3/5
Informazioni su IP e porte usando Netstat
Scritto da M3xican
IV. Usando Netstat per ICQ e AIM
------------------------------------------------------Avete mai provato a prendere qualche indirizzo IP o hostname usando
[AIM] o [ICQ]? Bene siete fortunati.
[AIM] - Con AIM non puoi generalmente trovare l'esatto indirizzo IP
senza alcune prove e errori poichè la maggior parte del tempo sembra
collegare tutti gli utenti online sulla porta 5190. Così meno utenti
sono online più è facile. Allora, vai al prompt di ms-dos e digita
netstat -n lì, vedrai sotto [Foreign Addressess] un IP:con la porta
5190. Adesso uno di quegli IP che è connesso con te sulla porta 5190
diventerà il tuo utente bersaglio su AIM. Solo prove e errori per
cercare sono generalmente il metodo più facile.
[ICQ] - per prendere un IP di un utente di ICQ usando netstat è
facile. PRima di di parlare con la persona su ICQ devi aprire il
prompt di ms-dos e fare il netstat -n per vedere tutti gli IP e
le porte.
Prendi nota o copiali da qualche parte così che li possa ricordare
in seguito. Adesso è il momento di trovare questo IP. Manda un
messaggio all'utente con un singolo messaggio e adesso velocemente
fai netstat -n. Avrai una nuova linea aggiunta di un indirizzo IP,
adesso cerca per quello nuovo nella colonna [Foreign Addressess]
e una volta che l'avrai trovato hai l'ip del tuo amico senza patch
o hackeraggi. Semplice abilità :P.
------------------------------------------------------V. Altri usi
------------------------------------------------------Netstat può essere usato per prendere gli IP di ogni cosa e ognuno,
ogni volta che c'è una connessione diretta tra te e il bersaglio
(es. messaggi diretti, trasferimenti di files o chat ICQ su ICQ,
chat DCC (Direct Client Connection) o chat e trasferimenti di files
su irc ecc..).
------------------------------------------------------VI. strumenti e accessori
------------------------------------------------------Port scanning: per cercare una qualsiasi porta aperta su un computer:
- [7th Sphere Port scanner] - (2 siti mirror nel caso che un link
non funzionasse)
- http://members.xoom.com/Cryptog/7spereportscan.exe
- http://members.xoom.com/gohan_3/7spereportscan.exe
Firewall per monitorare porte e il registro:
- [Lockdown 2000]
- http://www.lockdown.com
4/5
Informazioni su IP e porte usando Netstat
Scritto da M3xican
Per comunicare meglio:
- [ICQ]
- http://www.icq.com
- [Aol Instant Messanger]
- http://www.aol.com
Netstat con interfaccia grafica:
- [X-netstat]
- http://spazioweb.inwind.it/m3xican/pagine/download/vari.htm
------------------------------------------------------VII. Due trucchi veloci
------------------------------------------------------a. Alcune volte netstat può generare liste molto lunghe, che sono
specialmente confuse per i newbies. Se tu stai avendo difficoltà,
esegui solo netstat, e poi fai una connessione diretta di qualsiasi
genere col tuo bersaglio , o fallo connettere a te (ICQ, IRC, ecc..
ti sei fatto un idea) ed esegui netstat ancora. Ci dovrebbe essere
una nuova linea, questo è quello che stai cercando.
b. Se l'output di netstat è troppo lungo, digita 'netstat -an >
c:directoryfile.txt' (senza le virgolette, e puoi rimpiazzare
i parmetri -an e il nome del file e il suo percorso con qualsiasi
cosa tu voglia). Questo scaricherà l'output su quel file per una
lettura semplice, e ti permetterà anche di eseguire un copia & incolla.
------------------------------------------------------CONCLUSIONE
------------------------------------------------------Io penso che sia una cosa migliore comprendere internet che usare
degli strumenti che trovi.
Impara come fare le cose manualmente così comprenderai completamente
cosa sta accadendo. Questo alimenterà il tuo potere e ucciderà la tua debolezza :)
-Tricker
5/5