Documento PDF. Steve Gibson e Leo Laporte ( Security Now! Episodio 49, 20 luglio 2006 ). In questa puntata, Leo e Steve descrivono il comando "netstat", universalmente disponibile: Unix, Linux, Windows e Mac. Netstat permette di vedere tutte le connessioni internet attive e le porte aperte. Il comando netstat è un potente strumento per rafforzare la sicurezza di un sistema informatico, connesso ad una rete. Per esempio, se eseguite netstat e vedete molte connessioni alla porta 6667, la porta usata da IRC, senza che stiate utilizzando IRC, con buona probabilità, avete installato un trojan IRC, che è connesso ad un server IRC, in attesa di ricevere comandi. Normalmente, il comando netstat tende a mostrare le connessioni attive o appena chiuse. Se specificate l'opzione " -a ", invece, netstat mostrerà tutti i socket, compresi i socket LISTENING, che rappresentano le cosiddette "open port", porte aperte da un qualche processo, in attesa di un qualche traffico di dati. L'output del comando netstat è composto da quattro colonne. La colonna più a sinistra è la colonna che indica il protocollo in uso ( Proto ), quali TCP o UDP. Netstat ordina i protocolli, in modo che TCP preceda sempre UDP. La seconda colonna indica l'indirizzo locale, dove l'indirizzo è composto da un indirizzo IP, seguito dai due punti, seguiti dal numero di porta usato, come appare in un socket. Nella terza colonna, viene riportato l'indirizzo remoto al quale il computer è connesso. Questo indirizzo è il dato più interessante. L'ultima colonna è la colonna di stato, che indica lo stato della connessione o della potenziale connessione. Lo stato più comune è LISTENING: la porta è in acolto, aperta e pronta ad accettare una qualche connessione in arrivo. Se lo stato è ESTABLISHED, significa che è stata stabilita una connessione tra il computer e l'indirizzo, composto da IP e numero di porta, remoto riportato nella colonna precedente: ora avverrà lo scambio di dati. Lo stato TIME_WAIT indica una transazione completata: il computer è in attesa del messaggio di chiusura, da parte del computer remoto. In alcuni casi, è possibile rilevare uno stato SYN_RECEIVED o SYN_SENT, dove SYN indica una sincronizzazione in atto: in questo caso, i due computer si stanno preparando alla connessione, sincronizzando alcune impostazioni. Solitamente, questo passaggio è tanto rapido da non essere rilevato da netstat, ma, nel caso di una rete affollata, è possibile rilevare molte righe con questo stato.

>> Continua >>