|
|
|
Uso di NetStat |
|
Avvio - Programmi - Accessori - Prompt di Ms-Dos: NetStat è uno strumento davvero utile che ha molti usi. Ad esempio, per prendere gli indirizzi IP di altri utenti con cui sto parlando su ICQ o AIM. Puoi usare netstat anche per monitorare l'attività delle tue porte contro aggressori che inviano richieste di syn (parte del TCP/IP 3-way-handshake) o solo per vedere quali porte stanno in attesa/in collegamento. Guarda l'esempio sotto per una rappresentazione media di una risposta alla digitazione di [netstat] al prompt 'c:\'
C:\WINDOWS>netstat
Active Connections
Proto Local Address
Foreign Address
State TCP
pavilion:25872 WARLOCK:1045
ESTABLISHED
TCP pavilion:25872
sy-as-09-112.free.net.au:3925
ESTABLISHED
TCP pavilion:31580
WARLOCK:1046
ESTABLISHED
TCP pavilion:2980
205.188.2.9:5190 ESTABLISHED
TCP pavilion:3039
24.66.10.101.on.wave.home.com:1031 ESTABLISHED
[Proto] - Questo ti dice se il protocollo è TCP/UDP ecc. [Local Address] - Questo ti dice le porte aperte dell'hostname/IP locale. [Foreign Address] - Questo ti darà l'IP/hostname della persona e la porta nel formato dell'IP: porta con ":" nel mezzo tra porta ed IP/hostname. [State] - Dichiara lo stato della connessione. Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è in attesa di una connessione. Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo comando per il monitoraggio dell'attività delle porte e la scoperta di porte aperte in uso. |
|
Individuazione delle porte aperte |
|
Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi e chiudendosi benchè tu non faccia niente. Capirai che qualcuno si stia divertendo con un trojan sul tuo computer. Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere giusto? Bene hai ragione. Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto c'è un menu di aiuto. Esaminalo. C:\WINDOWS>netstat -? Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti. NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo] -a Visualizza tutte le connessioni e le porte di ascolto. -e Visualizza le statistiche Ethernet. L'opzione può essere associata all'opzione -s. -n Visualizza gli indirizzi e i numeri di porta in forma numerica. -p proto Visualizza connessioni del protocollo specificato da 'proto'; 'proto' può essere TCP o UDP. Se usato con l'opzione -s per le statistiche, 'proto' può essere TCP, UDP, o IP. -r Visualizza la tabella di routing. -s Visualizza le statistiche per protocollo. Per impostazione predefinita, le statistiche sono visualizzate per TCP, UDP e IP; l'opzione -p può essere utilizzata per specificare un sottoinsieme dell'impostazione predefinita. intervallo Rivisualizza le statistiche selezionate, interrompendo per un numero di secondi pari a "intervallo" tra ogni visualizzazione. Premere CTRL+C per fermare la visualizzazione delle statistiche. Se omesso, netstat stamperà le informazioni di configurazione correnti una sola volta. Io personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le connessioni e le porte aperte nella forma dell'IP invece che dell'hostname. Così come puoi notare come abbia usato il comando: netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in formato numerico(IP)) nestat -an -così facendo vengono eseguite le due opzioni alla volta senza bisogno di dover scrivere -a-n. Adesso che sai come usare netstat per per vedere tutte le tue connessioni e le porte in attesa puoi ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo diventa molto utile per ogni cosa che scoprirai. |
|
SYN e ACK |
|
Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei pacchetti sul tuo sistema. Bene, lasciami dire cosa fanno SYN e ACK. [SYN] - SYN in parole comuni è una richiesta per una connessione usata nell'handshake 3-way nel TCP/IP. Quando tu mandi una SYN per una connessione, il computer obbiettivo risponderà con una SYN o una ACK. Così principalmente quando vedi nella colonna [state] SYN significa che stai mandando una richiesta per connetterti a qualche cosa. [ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da un computer che sta provando a connettersi con te. Una volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare indietro un altra SYN al computer che richiede la connessione per confermare che il pacchetto inviato era corretto. Spero di averti aiutato a capire un pò di più SYN e ACK. Se hai ulteriori domande prova a cercare testi sul TCP/IP. |
|
Usando Netstat per ICQ e AIM |
|
Avete mai provato a prendere qualche indirizzo IP o hostname usando [AIM] o [ICQ]? [AIM] - Con AIM non puoi generalmente trovare l'esatto indirizzo IP senza alcune prove e errori poiché la maggior parte del tempo sembra collegare tutti gli utenti on~line sulla porta 5190. Così meno utenti sono on~line più è facile. Allora, vai al prompt di ms-dos e digita netstat -n lì, vedrai sotto [Foreign Addressess] un IP:con la porta 5190. Adesso uno di quegli IP che è connesso con te sulla porta 5190 diventerà il tuo utente bersaglio su AIM. Solo prove e errori per cercare sono generalmente il metodo più facile. [ICQ] - per prendere un IP di un utente di ICQ usando netstat è facile. PRima di di parlare con la persona su ICQ devi aprire il prompt di ms-dos e fare il netstat -n per vedere tutti gli IP e le porte. Prendi nota o copiali da qualche parte così che li possa ricordare in seguito. Adesso è il momento di trovare questo IP. Manda un messaggio all'utente con un singolo messaggio e adesso velocemente fai netstat -n. Avrai una nuova linea aggiunta di un indirizzo IP, adesso cerca per quello nuovo nella colonna [Foreign Addressess] e una volta che l'avrai trovato hai l'ip del tuo amico senza patch o hackeraggi. Semplice abilità :P. |
|
Altri usi |
|
Netstat può essere usato per prendere gli IP di ogni cosa e ognuno, ogni volta che c'è una connessione diretta tra te e il bersaglio (es. messaggi diretti, trasferimenti di files o chat ICQ su ICQ, chat DCC (Direct Client Connection) o chat e trasferimenti di files su irc ecc..). |
|
Strumenti e accessori |
|
Port scanning: per cercare una qualsiasi porta aperta su un computer: - [7th Sphere Port scanner] - (2 siti mirror nel caso che un link non funzionasse) - http://members.xoom.com/Cryptog/7spereportscan.exe - http://members.xoom.com/gohan_3/7spereportscan.exe Firewall per monitorare porte e il registro: -
[Lockdown 2000]
- http://www.lockdown.com Per comunicare meglio: - [ICQ] - http://www.icq.com - [Aol Instant Messanger] - http://www.aol.com Netstat con interfaccia grafica: - [X-netstat] - http://spazioweb.inwind.it/m3xican/pagine/download/vari.htm |
|
|
|
Due trucchi veloci |
|
A. Alcune volte netstat può generare liste molto lunghe, che sono specialmente confuse per i newbies. Se tu stai avendo difficoltà, esegui solo netstat, e poi fai una connessione diretta di qualsiasi genere col tuo bersaglio , o fallo connettere a te (ICQ, IRC, ecc.. ti sei fatto un idea) ed esegui netstat ancora. Ci dovrebbe essere una nuova linea, questo è quello che stai cercando. B. Se l'output di netstat è troppo lungo, digita 'netstat -an > c:\directory\file.txt' (senza le virgolette, e puoi rimpiazzare i parmetri -an e il nome del file e il suo percorso con qualsiasi cosa tu voglia). Questo scaricherà l'output su quel file per una lettura semplice, e ti permetterà anche di eseguire un copia & incolla. |