Dove trovo uno scanport?

[rupy]

Salve vorrei sapere dove posso scaricare un buon scanport che mi scandagli tutte le porte aperte e chiuse e che sia abbastanza interpretabile

Grazie mille.

[e-Tip]

nmap

[rupy]

Grazie dove posso trovare questo nmap?

Grazie ancora

[rupy]

Modifico la mia richiesta, sapreste dirmi dove posso scaricare sempre uno scanport ma che mi dia la possibilità di vedere ogni numero IP collegato alle mie porte in ricezione e in trasmissione?
Spero di essere stato abbastanza preciso.

Grazie Ciao.

[eraser]

Active Ports non è uno port scanner ma monitorizza le porte TCP/UDP e tiene conto degli IP connessi

[rupy]

Grazie mille ora lo cerco.

Ciao.

[coatl]

mi spiegate però cm funzia Active Ports!?!?

cioè...vedo i processi in corso e i vari IP e PID ( )...
..ma nn so cosa vuol dire ad esempio quando si colorano di rosso o di verde.....o quando c'è scritto (sotto "STATE") LISTEN, SYN_LISTEN etc...

cè qualcuno che mi istruisce??

ty,
CoAtL

[Sifr]

Il PID non so cosa sia.. Il rosso ti avverte che quella connessione sta per essere chiusa (infatti se vedi un processo in rosso dopo un po' sparisce), mentre il verde significa il contrario (la connessione si sta aprendo). Lo STATE ti dice lo stato della connessione. I principali stati sono:

LISTEN - Il servizio è in attesa di comandi

ESTABILISHED - La connessione è stata stabilita

TIME_WAIT - La connessionte è stata appena chiusa

Il tuo Syn_listen dovrebbe essere una specie di attesa di connessione. Per connettersi ad un server o ad un servizio, succede questo:

Il client invia un pacchetto SYN all'host (server).
L'host lo riceve e invia un SYN-ACK al client che poi invierà un ACK finale che segnerà l'inizio della connessione. Il syn_listen significa che il tuo PC è in attesa di un pacchetto SYN, CREDO.

Ciao!
Sifr


PS.: Magari può essere utile sapere che questo procedimento (SYN, SYN-ACK, ACK) è vulnerabile ad attacchi DoS (Denial of Service) che sfruttano delle connessioni aperte a metà per inondare il server di richieste e farlo crashare (o peggio ancora).

[coatl]

Grazie, ora i concetti sono un po più chiari....

mi chiedo ancora una cosa....cè un particolare STATE in cui è meglio preoccuparsi e cercare di chiudere la connessione??

per esempio ho aperte una decina di porte con svchost.exe....ma io nn so neanke cosè....

CoAtL

[Sifr]

svchost è un file di sistema di Windows, che tuttavia può essere sfruttato da virus, worm etc..
Gli stati potenzialmente pericolosi sono listen ed estabilished, tuttavia bisogna vedere quali listen ed estabilished ci sono.. Per esempio se vedi "Sono un trojan.exe" con LISTEN, puoi anche preoccuparti, altrimenti è tutto a posto

[rig1]

mi collego a questa discussione perchè ho notato nella relazione del mio panda platinum numerosi tentavivi di connessione dall'esterno
Ecco per esempio la lista degli ultimi tentativi, ma in realtà è moooolto più lunga...
------------------------------------------------------------------------------------
Tentativo di connessione 06/07/04 16:38:18 Bloccato IP di origine: 217.147.129.101
Tentativo di connessione 06/07/04 16:31:43 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:31:34 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:27:15 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:27:07 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:19:02 Bloccato IP di origine: 193.54.184.51
------------------------------------------------------------------------------------

Dite che dovrei preoccuparmi? Il Panda blocca tutto ma potrebbe anche essergli sfuggito qualche cosa...
Inoltre qualche due giorni fà mi ha segnalato un tentativo (bloccato pure questo) di spoofing
Chi mi sa dire di più?
grazie!

[Sifr]

Non sono molto sicuro di quello che dico (magari aspettiamo conferme) però così ad occhio e croce direi che il "tentativo di connessione" non è detto che sia un vero e proprio attacco, forse un portscan in preparazione di un attacco, o semplicemente la curiosità di qualche persona... Un tentativo di connessione può anche essere una connessione tramite p2p che il panda ha bloccato.. Insomma, una connessione detta così non è niente.. Hai dei log più precisi?


Per quanto riguarda lo spoofing, questo può significare varie cose:

a) qualcuno sta cercando di fare qualcosa col tuo pc da un IP spoofato (diverso, cambiato rispetto a quello vero).

b) qualcuno sta usando lo spoofing per farti un DoS (Denial of Service) che potrò poi o bloccarti qualche servizio o, se il cracker è esperto, prendere completamente controllo del PC.


Però sono solo ipotesi, servirebbero dei log più chiari

Non guasterebbe neanche qualche info in più sullo spoofing.. Tentativo di spoofing.. Ma spoofare cosa?

Ciao!
Sifr

[rig1]

Quote:

Non guasterebbe neanche qualche info in più sullo spoofing..

questo è quello che il log di Panda mi dice... non so se c'è un modo per andare più nello specifico... chiedo consiglio a qualche esperto )

Posso aggiungere che lo Spoofing proveniva da questo indirizzo: 0.0.192.168 (a me sembra un po' strano come indirizzo, comunque.... )

Grazie per la risposta!

[Wyrdmeister]

Quote:

Originariamente inviato da rig1
mi collego a questa discussione perchè ho notato nella relazione del mio panda platinum numerosi tentavivi di connessione dall'esterno
Ecco per esempio la lista degli ultimi tentativi, ma in realtà è moooolto più lunga...
------------------------------------------------------------------------------------
Tentativo di connessione 06/07/04 16:38:18 Bloccato IP di origine: 217.147.129.101
Tentativo di connessione 06/07/04 16:31:43 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:31:34 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:27:15 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:27:07 Bloccato IP di origine: 151.6.25.78
Tentativo di connessione 06/07/04 16:19:02 Bloccato IP di origine: 193.54.184.51
------------------------------------------------------------------------------------

Dite che dovrei preoccuparmi? Il Panda blocca tutto ma potrebbe anche essergli sfuggito qualche cosa...
Inoltre qualche due giorni fà mi ha segnalato un tentativo (bloccato pure questo) di spoofing
Chi mi sa dire di più?
grazie!

Per potrer dire qualcosa occorrerebbe sapere almeno su che porta era il tentativo di connessiono... solo con un ip potrebbe essere qualsiasi cosa...

Quote:

Originariamente inviato da rig1
"tentativo di connessione" non è detto che sia un vero e proprio attacco, forse un portscan in preparazione di un attacco, o semplicemente la curiosità di qualche persona..

potrebbe essere anche una connessione effettuata fa uno devi virus tipo blaster/sasser... il mio firewall blocca quasi solo quelle!
Per vedere se le porte del tuo computer sono tutte chiuse prova un test online... guarda su questo thread.. ci sono alcuni link

[Wyrdmeister]

PS: il PID è il process identifier. Il numero del processo!

[rig1]

Quote:

Originariamente inviato da Wyrdmeister

Per vedere se le porte del tuo computer sono tutte chiuse prova un test online...

Ho eseguito il test on line della sygate (SOS) e il risultato è stato:

You have blocked all of our probes! We still recommend running this test both with
and without Sygate Personal Firewall enabled... so turn it off and try the test again.

Tutte le porte che sono state analizzate sono in modalità "Blocked" e "completely stealthed"

Ho notato in una discussione che hai un gateway linux... Anche io ho questa configurazione e credo che sia molto valida.... spero quindi che tu abbia ragione, attacchi esterni di sasser che panda blocca....
Ora, il fatto di avere linux non è molto gradito al mio mulone che rimane sempre connesso con un ID basso... E' possibile rimediare in qualche maniera senza rinunciare alla sicurezza?

[rig1]

ho fatto un'ulteriore scansione per le porte tcp e qui tutto bloccato, poi ho eseguito il test sulle porte udp e qui sono iniziate le grane:
"We have determined that you do not have any firewall blocking UDP ports!"

Poi il test sulle varie porte le rileva "closed" ma "This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities"

Inoltre sono aperte le porte dei seguenti servizi:
DHCP SERVER
Location Service
NetBIOS-NS
NetBIOS-DGM
Server Message Block

Infine il test sui troyan mi ha dato il seguente risultato:
Le porte sono "closed" ma
"This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities."

e ancora:
"You are not fully protected:
We have detected that some of our probes connected with your computer."
Cosa posso fare?

Scusate se mi sono dilungato...

[Wyrdmeister]

Quote:

Originariamente inviato da rig1
Ho notato in una discussione che hai un gateway linux... Anche io ho questa configurazione e credo che sia molto valida.... spero quindi che tu abbia ragione, attacchi esterni di sasser che panda blocca....
Ora, il fatto di avere linux non è molto gradito al mio mulone che rimane sempre connesso con un ID basso... E' possibile rimediare in qualche maniera senza rinunciare alla sicurezza?

Dunque hai anche tu un gateway linux per condividere la connessione a internet? strano che panda su win riceva delle connessioni... io ho il sygate principalmente per controllare che cosa accede a internet e non mi rileva nulla... viene bloccato tutto da iptables...
Per avere un id alto con il mulo dei usare il port forwarding di iptables per la porta 4662 tcp e la porta 4672 udp (sempre che tu nn abbia disattivato l'udp.. io ho dovuto farlo perchè mi crashava il router)

Per il resto dovresi controllare lo script di configurazione di iptables... il fatto che trova delle porte colsed ma non stealth potrebbe essere dovuto a iptables configurato con REJECT invece che DROP.

[rig1]

Quote:

Originariamente inviato da Wyrdmeister
Dunque hai anche tu un gateway linux per condividere la connessione a internet?

Esatto, gateway linux per permettere a più pc di accedere a internet ma con un router unico... Purtroppo di linux non ne so nulla e quindi mi devo fidare di quello che hanno configurato i sistemisti...

Quote:

viene bloccato tutto da iptables...

Che cos'è? un servizio di win o di linux? Come posso configurare il port forwarding?
Maledetta ignoranza!!!

[Wyrdmeister]

Quote:

Originariamente inviato da rig1
Esatto, gateway linux per permettere a più pc di accedere a internet ma con un router unico... Purtroppo di linux non ne so nulla e quindi mi devo fidare di quello che hanno configurato i sistemisti...


Che cos'è? un servizio di win o di linux? Come posso configurare il port forwarding?
Maledetta ignoranza!!!

iptables è il firewall integrato di linux (dal kernel 2.4 in avanti.. prima era ipchains...).
Teoricamente i sistemisti dovrebbero aver messo uno script che all'avvio configura iptables per fa passare solo il pacchetti in uscita e quelli di ritorno per connessioni già stabilite... il resto dovrebbe essere tutto bloccato! quindi è strano che ti veda porte aperte... che distribuzione usi sul gateway?
Per il portforwarding occorre aggiungere dei comandi allo script di iptables... il fatto è che non è semplicissimo...