Interpretazione di netstat

[23Andrea]

Ciao a tutti.
Sono incerto se aprire la discussione in questa sezione o nella sezione di networking:200:
Qui: http://cid-3055ac6e6e9d39cb.office.l...kManager^6.txt
c'è l'output del comando "netstat -an", a cui ho aggiunto i dati rilevati dal TaskManager per identificare i processi.
E' stato ottenuto con il PC connesso a internet, ma senza client di rete avviati. Con il PC disconnesso la situazione non cambia.
Il monitor di rete del firewall riporta (mi sembra) la stessa situazione, anche se in forma un po' diversa.
Avrei bisogno di aiuto per capire:

1)Le prime dodici righe, con i servizi in listening, significano che questi servizi sono in ascolto in rete? Oppure che sono in ascolto solo rispetto ai processi in esecuzione sul sistema stesso?

2)Se utilizzo "netstat -a", quindi con la risoluzione dei nomi, l'indirizzo esterno 0.0.0.0 viene risolto con il nome del mio PC,e quindi ottengo, per esempio

Proto Indirizzo locale Indirizzo esterno Stato PID
TCP 0.0.0.0:135 "nome PC":0 LISTENING 868

ma il nome dell'host locale non dovrebbe risolvere 127.0.0.1? E non 0.0.0.0, che invece dovrebbe indicare "qualsiasi indirizzo"?


3)Non è strano che i tre servizi wininit.exe, lsass.exe, services.exe utilizzino porte così alte?

Grazie mille in anticipo.

P.S:
sistema operativo Windows Vista SP2
Router USRobotics 9111
rete lan wireless con indirizzi statici (senza DHCP)
Firewall software Kaspersky v.2009
Che altro?

[Habanero]

Essere in ascolto sull'indirizzo 0.0.0.0 significa essere in ascolto su tutte le interfacce di rete della macchina. Queste possono essere visualizzate con un semplice:
ipconfig /all

Se, ad esempio, una macchina è connessa ad una rete locale con l'ip 192.168.2.20, allora il processo in ascolto su 0.0.0.0 accetterà connessioni da localhost (127.0.0.1), cioè dalla macchina stessa, sia da sistemi presenti sulla stessa sottorete LAN (ad esempio 192.168.2.x).

Un processo in ascolto solo sull'interfaccia di loopback 127.0.0.1 potrebbe unicamente accettare connessioni locali.
Processi in ascolto su 192.168.2.20 possono ricevere connessioni solo su quella specifica interfaccia.

Se la connessione ad internet avviene tramire router, il sistema non possiede una interfaccia WAN e quindi i processi in ascolto su 0.0.0.0 non potranno ricevere connessioni dall'esterno della rete. Per far sì che questo sia possibile sul router deve essere abilitato il portforwaring delle porte incriminate verso quella specifica macchina.

Diverso è il caso di un modem direttamente connesso ad un pc. In tal caso è il sistema che effettua la connessione ad internet e come tale sarà presente una interfaccia WAN.

0.0.0.0 non ha nulla a che fare con l'indirizzo di loopback 127.0.0.1. L'indirizzo 0.0.0.0 ha senso solo nel contesto in un processo in stato di listening.
L'indirizzo [::] riveste lo stesso ruolo di 0.0.0.0 per quanto riguarda ipv6.


Per quanto riguarda i processi di sistema in ascolto su porte alte (da 49152 in poi) è una cosa normale a partire da Windows Vista in poi... ma non ti so dare la spiegazione della loro funzione.

Se dal netstat vuoi informazioni sui processi più dettagliate prova con

netstat -anob

[alberto_summers]

più che altro, non vedo nulla di anormale, i servizi sono presenti in tutti i computer windows (a parte il tuo antivirus)

poi tieni conto che un programma anomalo difficilmente si inserisce nell'elenco col nome death_on_halloween