come identificare un IP?

[zappy]

guardando i log del firewall, ho visto che il mio pc tenta ad ogni connessione di collegarsi ad alcuni IP, spesso uguali.
Come faccio a sapere a cosa corrispondono?

E già che ci sono, cosa sono e a che servono i protocolli UDP e ICMP?
Graz

[cionci]

UDP è un protocollo di trasporto alternativo al TCP...non ha controllo di errore, di sequenza e non ha garanzia di consegna... Deve essere il protocollo impiegato dall'applicazione ad implementare queste cose (sempre che interessino)...
ICMP è un protocollo di gestione e controllo... Ad esempio il Ping sfrutta il protocollo ICMP...

Nemmeno un decimo dei messaggi riportati da un firewall è un tentativo di intrusione...

Per vedere a cosa corrisponde prova a fare nslookup indirizzoip

[FL4SH]

mi associo

[zappy]

Quote:

Originally posted by "cionci"

UDP è un protocollo di trasporto alternativo al TCP...non ha controllo di errore, di sequenza e non ha garanzia di consegna... Deve essere il protocollo impiegato dall'applicazione ad implementare queste cose (sempre che interessino)...
ICMP è un protocollo di gestione e controllo... Ad esempio il Ping sfrutta il protocollo ICMP...

Nemmeno un decimo dei messaggi riportati da un firewall è un tentativo di intrusione...

Per vedere a cosa corrisponde prova a fare nslookup indirizzoip

Grazie a entrambi x l'attenzione

intrusione nn credo, visto che sono tentativi di connessione in uscita
il comando che suggerisci cosa riporta come output? e passa il fw?
graz

[haendel]

Quote:

Originally posted by "zappy"


Grazie a entrambi x l'attenzione

intrusione nn credo, visto che sono tentativi di connessione in uscita
il comando che suggerisci cosa riporta come output? e passa il fw?
graz

l' nslookup (che devi scrivere in una finestra dos) non fa altro che tradurre un indirizzo ip nel suo mnemonico (sempre che sia stata compilata la apposita tabella dal gestore della subnet).
Intendo dire che non tutti gli indirizzi ip hanno un mnemonico

Attenzione a quello che un pc cerca di mandare fuori autonomamente, non voglio spaventarti ma molti trojan funzionano proprio così, allattivazione del collegamento di rete, inviano un messaggio per comunicare che sono attivi.

[zappy]

Quote:

Originally posted by "haendel"

- l' nslookup (che devi scrivere in una finestra dos) non fa altro che tradurre un indirizzo ip nel suo mnemonico (sempre che sia stata compilata la apposita tabella dal gestore della subnet).
Intendo dire che non tutti gli indirizzi ip hanno un mnemonico

- Attenzione a quello che un pc cerca di mandare fuori autonomamente, non voglio spaventarti ma molti trojan funzionano proprio così, allattivazione del collegamento di rete, inviano un messaggio per comunicare che sono attivi.

- quindi si può fare anche off-line? cioè registra i "nomi lunghi" che corrispondono agli IP? ma il fw ha bloccato l'accesso, quindi dubito che abbia memorizzato qualcosa...
- ah, ma qua fa una batteria di uscite ogni 2 secondi durante tutta la connessione (56k)... comunque il fw dovrebbe distinguere le chiamate dei troiani xchè ha un registro di porte note

[cionci]

Insomma...ma su che porte lo fa ? Facci vedere i messaggi...magari sono solo i ping di IRC
Fai una scansione con Ad-aware...

[zappy]

Quote:

Originally posted by "cionci"

Insomma...ma su che porte lo fa ? Facci vedere i messaggi...magari sono solo i ping di IRC
Fai una scansione con Ad-aware...

Con UDP 53 e 1085, con ICMP dice N/A
Gli IP cominciano entrambi con 213.234.1xx.xxx
Altri Ip cominciano con 151 ma sono molto + rari.
E' un sys appena installato, con nulla di particolare o ranocchiato, e ragionevolmente aggiornato.

[gohan]

la porta 53 è quella usata per le query DNS.

[zappy]

Quote:

Originally posted by "gohan"

la porta 53 è quella usata per le query DNS.

hmm nn capisco... ma mi pare paradossale

[gohan]

quando navighi per ogni sito che richiedi, viene fatta una query al server DNS del tuo provider in modo da risolvere il nome del sito in un indirizzo IP. Il servizio DNS gira sulla porta 53.

[zappy]

Quote:

Originally posted by "gohan"

quando navighi per ogni sito che richiedi, viene fatta una query al server DNS del tuo provider in modo da risolvere il nome del sito in un indirizzo IP. Il servizio DNS gira sulla porta 53.

Ho capito, grazie
Xò questa roba è inntercettata e BLOCCATA dal fw, quindi nn potrei navigare? ma io navigo allegramente... possibile che qualcos'altro si intrufoli su quella porta? hmm....


ps: qualcuno sa dirmi qualcosa a proposito di quegli IP? x es se si sa (o si può sapere) a chi appartengono (provider? impresa?)

[gohan]

ma sei sicuro che sia bloccata e non solo loggata?
Cmq può essere che il server DNS cerchi di mandarti qualcos'altro....
cmq escluderei un attacco, visto che se anche uno riesce a raggiungere la porta 53 del tuo pc, poi non c'è nessun servizio di DNS che lo ascolti.
Scrivimi quell'indirizzo IP.

[zappy]

Quote:

Originally posted by "gohan"

ma sei sicuro che sia bloccata e non solo loggata?
Cmq può essere che il server DNS cerchi di mandarti qualcos'altro....
cmq escluderei un attacco, visto che se anche uno riesce a raggiungere la porta 53 del tuo pc, poi non c'è nessun servizio di DNS che lo ascolti.
Scrivimi quell'indirizzo IP.

direi bloccata.
e comunque è in uscita

gli ip li ho scritti qualche post fa: cominciano entrambi con 213.234.1xx.xxx
Altri Ip cominciano con 151 ma sono molto + rari.
tnx dell'attenzione

[gohan]

scrivimi l'IP completo, prima non li hai scritti completi.

[zappy]

Quote:

Originally posted by "gohan"

quelli sono semplicemente i DNS del provider Atlanet!

capisco.... probabilmente molti prov. si appoggiano ad atlanet.
quel che nn capisco è:
- come hai fatto a scoprirlo
- come mai, benchè il fw blocchi il tentativo di connessione, tutto funzia... forse fallendo con quegli indirizzi ne prova altri che nn vengono intercettati?


già che ci sono chiedo un'altra cosa... facendo un netstat durante la connessione ho notato che il mio pc si connette... a se stesso tramite parecchie porte... è normale o ha crisi d'identità?
Grazie x le info

[gohan]

su win 2000 e XP esiste un comando
nslookup
che permette di risolvere i nomi in IP e viceversa; non c'ho messo molto!
Per il netstat: è normale! molti programmi si connettono a se stessi via porte tcp-ip.

[zappy]

Quote:

Originally posted by "gohan"

su win 2000 e XP esiste un comando
nslookup
che permette di risolvere i nomi in IP e viceversa; non c'ho messo molto!
Per il netstat: è normale! molti programmi si connettono a se stessi via porte tcp-ip.

ok. grazie di tutto gohan
e grazie anche a tutti quelli che hanno partecipato.