informazioni su IP e porte usando Netstat
*%* _.|~~|._ | ~~~~)\~~~/ /~~~~~| |~~| /~~/ |~~~~~~~/ | ~~~~) *%*
*%* |__ __| | @ / | | | /~~~ | |/ / | |~~~~~ | @ / *%*
*%* | | | |\ \ | | | | | < | |_____ | |\ \ *%*
*%* |__| |_| \_\ | | | \____ | |\ \ | _____\ |_| \_\ *%*
*%*%*%*%*%*%*%*%*%*%*/~ ~\ \_____/ |__| \__\ | |_____ *%*
*%*~~~~~ * TrickSoft.net * |______/ *%*%*%*%*%*
*%*%*%*%*%*%*%*%*%*%*%*%*%*%**%*%*%*%*%*%*
(Cadtrick@hotmail.com) - Data:giugno,01,2000
Info conatatti:
Scritto da: Tri«ker
(con alcune lievi modifiche di R a v e N)
Email:Cadtrick@hotmail.com
ICQ:40884568
AIM:zTrickerz
Web:http://tricksoft.net
TRADOTTO DAL: M3xican (m3xican@napolihak.cjb.net)
web:http://napolihak.cjb.net
Titolo: informazioni su IP e porte usando Netstat
Indice dei contenuti:
INTRODUZIONE
I. Uso di Netstat
II. Individuazione delle porte aperte
III. SYN e ACK
IV. Usando Netstat per ICQ e AIM
V. Altri usi
VI. strumenti e accessori
VII. Due trucchi veloci
CONCLUSIONE
INTRODUZIONE
Salve grazie per stare leggendo questo testo per imparare di più sull'uso di netstat affinchè ti sia di aiuto.
Per favore non curarti di qualsiasi errore di ortografia, punteggiatura o grammaticale.
Questo testo è scritto in modo che anche il lettore medio lo possa comprenderlo.
Non per complicarlo. Per favore siate liberi di inviarmi email.
I. Uso di Netstat
- (Per aprire netstat) - Per aprire Netstat devi fare come segue:
Clicca sul pulsante [avvio] --> poi clicca su [programmi] --> poi cerca [prompt di Ms-Dos].
Netstat è uno strumento davvero utile che ha molti usi. Io personalmente uso netstat per prendere gli indirizzi IP di altri utenti con cui sto parlando su ICQ o AIM. Puoi usare netstat anche per monitorare l'attività delle tue porte contro aggressori che inviano richieste di syn (parte del TCP/IP 3-way-handshake) o solo per vedere quali porte stanno in attesa/in collegamento. Guarda l'esempio sotto per una rappresentazione media di una risposta alla digitazione di [netstat] al prompt 'c:\'
C:\WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP pavilion:25872 WARLOCK:1045 ESTABLISHED
TCP pavilion:25872 sy-as-09-112.free.net.au:3925 ESTABLISHED
TCP pavilion:31580 WARLOCK:1046 ESTABLISHED
TCP pavilion:2980 205.188.2.9:5190 ESTABLISHED
TCP pavilion:3039 24.66.10.101.on.wave.home.com:1031 ESTABLISHED
Adesso guarda sull'esempio. Vedrai [Proto] nell'angolo in alto a sinistra.
Questo ti dice se il protocollo è TCP/UDP ecc. Affianco a destra vedrai [Local Address] questo ti dice le porte aperte dell'hostname/IP locale.
Ancora più a destra vedrai [Foreign Address] questo ti darà l'IP/hostname della persona e la porta nel formato dell'IP: porta con ":" nel mezzo tra porta ed IP/hostname.
E alla fine vedrai [state] che semplicemente dichiara lo stato della connessione.
Questo può essere ESTABLISHED(stabilita) se si è connessi o LISTENING se si è in attesa di una connessione.
Adesso con queste conoscenze ci tufferemo nel profondo di come usare questo comando per il monitoraggio dell'attività delle porte e la scoperta di porte aperte in uso.
II. Individuazione delle porte aperte
Adesso stai notando che qualcosa di buffo sta accadendo sul tuo computer? Lo sportellino del tuo lettore cd-rom sta diventando pazzo... aprendosi e chiudendosi benchè tu non faccia niente. E tu dirai che cazzo sta succedendo... oppure capirai che qualcuno si stia divertendo con un trojan sul tuo computer.
Adesso il tuo obbiettivo è localizzare quale trojan sia per poterlo rimuovere giusto? Bene hai ragione.
Allora vai al prompt di ms-dos. Ora ci sono molti modi di usare netstat e sotto c'è un menu di aiuto. Esaminalo.
C:\WINDOWS>netstat -?
Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervallo]
-a Visualizza tutte le connessioni e le porte di ascolto.
-e Visualizza le statistiche Ethernet. L'opzione può essere
associata all'opzione -s.
-n Visualizza gli indirizzi e i numeri di porta in forma numerica.
-p proto Visualizza connessioni del protocollo specificato da 'proto';
'proto' può essere TCP o UDP. Se usato con l'opzione -s per le
statistiche, 'proto' può essere TCP, UDP, o IP.
-r Visualizza la tabella di routing.
-s Visualizza le statistiche per protocollo. Per impostazione
predefinita, le statistiche sono visualizzate per TCP, UDP
e IP; l'opzione -p può essere utilizzata per specificare
un sottoinsieme dell'impostazione predefinita.
intervallo Rivisualizza le statistiche selezionate, interrompendo
per un numero di secondi pari a "intervallo" tra ogni
visualizzazione. Premere CTRL+C per fermare la visualizzazione
delle statistiche. Se omesso, netstat stamperà le informazioni
di configurazione correnti una sola volta.
Io personalmente preferisco usare (c:\windows\netstat -an) che mostra tutte le connessioni e le porte aperte nella forma dell'IP invece che dell'hostname. Così come puoi notare come abbia usato il comando: netstat -a(mostra tutte le connessioni e le porte in attesa.)n(in formato numerico(IP))
nestat -an -così facendo vengono eseguite le due opzioni alla volta senza bisogno di dover scrivere -a-n. Adesso che sai come usare netstat per per vedere tutte le tue connessioni e le porte in attesa puoi ricercare porte comuni come 12345 (vecchio trojan netbus), 1243(vecchio subseven) ecc.. questo diventa molto utile per ogni cosa che scoprirai.
Prenditi una pausa adesso e datti una calmata sul tuo divano e rilassati per circa 5 minuti e lascia tutto questa sudata per il ritorno pronto ad imparare di più. :)
III. SYN e ACK
Quando senti SYN e ACK(ACKnowledge) tu non pensi alla comunicazione dei pacchetti sul tuo sistema.
Bene, lasciami dire cosa fanno SYN e ACK.
[SYN] - SYN in parole comuni è una richiesta per una connessione usata nell'handshake 3-way nel TCP/IP. Quando tu mandi una SYN per una connessione, il computer obbiettivo risponderà con una SYN o una ACK. Così principalmente quando vedi nella colonna [state] SYN significa che stai mandando una richiesta per connetterti a qualche cosa.
[ACK] - Adesso l'ACK è la conferma di ricevuta alla richiesta fatta da un computer che sta provando a connettersi con te. Una volta che una SYN ti è stata mandata tu devi rispondere con un ACK, poi mandare indietro un altra SYN al computer che richiede la connessione per confermare che il pacchetto inviato era corretto.
Spero di averti aiutato a capire un pò di più SYN e ACK. Se hai ulteriori domande prova a cercare testi sul TCP/IP.
Adesso andiamo nelle cose divertenti.
IV. Usando Netstat per ICQ e AIM
Avete mai provato a prendere qualche indirizzo IP o hostname usando [AIM] o [ICQ]? Bene siete fortunati.
[AIM] - Con AIM non puoi generalmente trovare l'esatto indirizzo IP senza alcune prove e errori poichè la maggior parte del tempo sembra collegare tutti gli utenti online sulla porta 5190. Così meno utenti sono online più è facile. Allora, vai al prompt di ms-dos e digita netstat -n lì, vedrai sotto [Foreign Addressess] un IP:con la porta 5190. Adesso uno di quegli IP che è connesso con te sulla porta 5190 diventerà il tuo utente bersaglio su AIM. Solo prove e errori per cercare sono generalmente il metodo più facile.
[ICQ] - per prendere un IP di un utente di ICQ usando netstat è facile. PRima di di parlare con la persona su ICQ devi aprire il prompt di ms-dos e fare il netstat -n per vedere tutti gli IP e le porte.
Prendi nota o copiali da qualche parte così che li possa ricordare in seguito. Adesso è il momento di trovare questo IP. Manda un messaggio all'utente con un singolo messaggio e adesso velocemente fai netstat -n. Avrai una nuova linea aggiunta di un indirizzo IP, adesso cerca per quello nuovo nella colonna [Foreign Addressess] e una volta che l'avrai trovato hai l'ip del tuo amico senza patch o hackeraggi. Semplice abilità :P.
V. Altri usi
Netstat può essere usato per prendere gli IP di ogni cosa e ognuno, ogni volta che c'è una connessione diretta tra te e il bersaglio (es. messaggi diretti, trasferimenti di files o chat ICQ su ICQ, chat DCC (Direct Client Connection) o chat e trasferimenti di files su irc ecc..).
VI. strumenti e accessori
Port scanning: per cercare una qualsiasi porta aperta su un computer:
- [7th Sphere Port scanner] - (2 siti mirror nel caso che un link non funzionasse)
- http://members.xoom.com/Cryptog/7spereportscan.exe
- http://members.xoom.com/gohan_3/7spereportscan.exe
Firewall per monitorare porte e il registro:
- [Lockdown 2000]
- http://www.lockdown.com
Per comunicare meglio:
- [ICQ]
- http://www.icq.com
- [Aol Instant Messanger]
- http://www.aol.com
Netstat con interfaccia grafica:
- [X-netstat]
- http://spazioweb.inwind.it/m3xican/pagine/download/vari.htm
VII. Due trucchi veloci
a. Alcune volte netstat può generare liste molto lunghe, che sono specialmente confuse per i newbies. Se tu stai avendo difficoltà, esegui solo netstat, e poi fai una connessione diretta di qualsiasi genere col tuo bersaglio , o fallo connettere a te (ICQ, IRC, ecc.. ti sei fatto un idea) ed esegui netstat ancora. Ci dovrebbe essere una nuova linea, questo è quello che stai cercando.
b. Se l'output di netstat è troppo lungo, digita 'netstat -an > c:\directory\file.txt' (senza le virgolette, e puoi rimpiazzare i parmetri -an e il nome del file e il suo percorso con qualsiasi cosa tu voglia). Questo scaricherà l'output su quel file per una lettura semplice, e ti permetterà anche di eseguire un copia & incolla.
CONCLUSIONE
Io penso che sia una cosa migliore comprendere internet che usare degli strumenti che trovi.
Impara come fare le cose manualmente così comprenderai completamente cosa sta accadendo. Questo alimenterà il tuo potere e ucciderà la tua debolezza :)
-Tricker
==================================================================
Questa guida è stata tradotta dal M3xican ( m3xican@napolihak.cjb.net ),
se considerate la traduzione scadente o vi volete
cimentare nell'impresa potete scaricare la versione originale
in inglese sempre su <http://napolihak.cjb.net>.
