Port Monitors
Per connettere fra di loro 2 computer a loro volta connessi ad Internet, vi
sono 2 elementi fondamentali: l'indirizzo IP e le porte. L'indirizzo IP è
formato da un serie di valori di 1, 2 o 3 cifre ciascuno, e definisce
univocamente ogni singolo computer connesso ad una rete. Un indirizzo IP è come
l'indirizzo di casa. Se io voglio andare da un mio amico, devo per forza
conoscere il suo indirizzo civico, che su Internet viene appunto chiamato
"INDIRIZZO IP". Supponiamo che ci sia un server (per esempio,
www.sito-di-prova.it) che mette a disposizione vari servizi.. Posta
elettronica, FTP (File Tranfer Protocol) e Web. Io mi voglio connettere al
server File Transfer Protocol, per cui mi connetto tramite l'indirizzo IP.. E
poi? Come fa il server a sapere se voglio usufruire del servizio FTP anzichè
del servizio SMTP (Posta elettronica) o WEB? Per questo ci sono le porte. Ogni
porta "ha" un servizio che sarà in ascolto su di essa (solo se è attivato). Nel
caso del FTP la porta è la n. 21; a questo punto, sono in grado di connettermi
al loro server File Transfer Protocol: inizio una comunicazione con il server
sulla porta 21 e poi comincio a dialogare.. Il gioco è fatto! Detto questo,
arriviamo ad una conclusione... Se un cracker vuole entrare nel nostro PC, deve
aprire una connessione con il nostro computer tramite una porta, e poi crackare
il sistema. E perchè questo è importante? Perchè se siamo in grado di
controllare il traffico sulle nostre porte, allora possiamo anche essere in
grado di prevenire attacchi di crackers tramite trojan o falle nei sistemi di
sicurezza. Se vediamo del traffico anomalo sulla porta 12345 (la porta
utilizzata ,dal trojan NetBUS), allora potrebbe essere opportuno bloccare il
traffico su quella porta e quindi controllare se nel nostro PC è effettivamente
presente il trojan.
Detto ciò, ci potrà venire in mente di cercare qualche modo per vedere quali
porte sono aperte, in che stato sono, chi le utilizza, a quale processo
corrispondono e tante altre cose interessanti.. Per fare ciò, ci vengono in
aiuto i port monitor, ovvero dei programmi che monitorano il traffico genereato
dal nostro PC... Windows possiede un port monitor che si può attivare dal DOS
con il comando netstat, tuttavia vi sono migliori port monitors con
un'interfaccia grafica, qualche info in più e che magari sono anche più
semplici, veloci de immediati. Uno di questi è ACTIVE PORTS. Potete scaricarlo
dal sito http://www.ntutility.com e poi installarlo liberamente. Il software è
freeware. Una volta installato, lanciatelo e vedrete una schermata che, per
ora, potrebbe non essere troppo amichevole.. Non vi preoccupate, non è niente
di complicato.
Innanzitutto analizziamo il programma, poi passeremo a vedere i vari stati
delle connessioni e i loro relativi pericoli.
Ok, ora che avete la schermata di Active Ports davanti a voi, noterete varie
voci:
PROCESS - Indica il processo attivo in quella connessione
PID - Identifica il processo
LOCAL IP - Indica l'IP locale in stato di connessione
LOCAL PORT - Indica la porta locale in stato di connessione
REMOTE IP - Indica l'IP remoto a cui siamo connessi
REMOTE PORT - Indica la porta remota a cui siamo connessi
STATE - Indica lo stato della connessione
PROTOCOL - Indica il protocollo utilizzato per la connessione
PATH - Indica il percorso, la directory del file che gestisce la connessione
Il rosso ti avverte che una connessione sta per essere chiusa (infatti se vedi
un processo in rosso dopo un po' sparisce), mentre il verde significa il
contrario (la connessione si sta aprendo).
E' molto intuitivo, quindi non avrete problemi a capire cosa sta succedendo nel
vostro sistema.. Ricordate solo 1 cosa: magari vi sembrerà strano vedere tanti
processi attivi, tuttavia molti sono processi che appartengono a file di
sistema. Per esempio, svchost.exe, su windows può essere presente anche 6-7
volte su Active Ports.. Eppure non vuol dire che abbiate un trjoan (tuttavia,
dovete continuare a stare attenti in quanto svchost.exe è un file affetto da
una nota vulnerabilità sfruttata dagli ultimi worms).
Ora esamineremo i principali stati delle connessioni:
LISTEN - Il servizio è in attesa di comandi, ovvero è in ascolto.. Appena
riceverà una richiesta, diverrà attivo.
ESTABILISHED - La connessione è stata stabilita e si sta comunicando con
l'altro computer.
TIME_WAIT - La connessionte è stata appena conclusa.. Prima di chiuderla
definitivamente, essa va in TIME_WAIT.. Dopo qualche secondo, la connessione
"sparirà"
Bisogna prestare attenzione ad ognuno di questi stati: se abbiamo una
connessione in "Listen", potrebbe trattarsi di un Trojan in attesa di comandi,
mentre se è "Estabilished", il nostro PC potrebbe essere già sotto attacco. Il
"Time_wait" va sempre tenuto sott'occhio, poichè potremmo "beccare" un cracker
che ha appena concluso una connessione con noi.
Bene, per ora è tutto.. Spero che siate riusciti ad imparare qualcosa in più
sulle connessioni e sul loro monitoramento. Se questa guida vi è piaciuta,
fatemelo sapere ;)
Ciao a tutti!
Simone Frattegiani (sifr_2004@yahoo.it)
DISCLAIMER:
Questa guida può essere liberamente copiata in qualsiasi sito WEB, rivista, forum etc.. purchè non venga alterata in alcun modo: se c'è proprio qualcosa che non vi piace e volete cambiare, magari mandate prima un'email all'autore (sifr_2004@yahoo.it)
Port Monitors
