Ciao a tutti.
come faccio a capire se il traffico in ingresso che il firewall mi blocca è veramente maligno e a che cosa è dovuto? Dove posso trovare una guida sulle porte utilizzate in modo da capire quale servizio o programma usa quella porta?
Ciao a tutti.
come faccio a capire se il traffico in ingresso che il firewall mi blocca è veramente maligno e a che cosa è dovuto? Dove posso trovare una guida sulle porte utilizzate in modo da capire quale servizio o programma usa quella porta?
Sbagliando si impara, a volte potrei sbagliare, riprendetemi quando accade in modo da istruirmi. Declino ogni responsabilità delle inesattezze tecniche di quanto affermo!
Ciao a tutti.
come faccio a capire se il traffico in ingresso che il firewall mi blocca è veramente maligno e a che cosa è dovuto? Dove posso trovare una guida sulle porte utilizzate in modo da capire quale servizio o programma usa quella porta?
Beh, per vedere su il traffico bloccato è maligno ti consiglio di scriverti da qualche parte l'ip e vedere se cambia spesso...
Prova ad andare su siti tipo whoisthis (non ricordo l'indirizzo) che ti permettono, inserendo l'ip, di risalire al "mittente" dei pacchetti...
Un altro metodo è quello di usare programmi tipo VisualRoute: inserisci l'ip e su una mappa del mondo ti appare il percorso dei pacchetti + varie info...
Esistono anche metodi manuali: Vai sul prompt del dos e scrivi netstat -a ... apparirà la lista dei siti a cui sei connesso. Se sei connesso a yahoo verrà fuori il nome di yahoo e la porta utilizzata...
Ovviamente se hai il firewall hardware o che blocca le connessioni senza che vengano rilevate dal dos, beh, allora devi prima disabilitarlo...
Poi procedi come detto sopra...
Manuali sulle porte del pc ce ne sono a bizzeffe...
le porte più usate sono:
7 echo (ping,...)
20-21 ftp (dati,ic)
23 telnet
25 smtp
80 html
110 pop3
135 rpc (attenzione al worm blaster)
69 tftp
139 netbios se attivato...
Ce ne sono molte altre (65k) di cui le prime 1024 associate a servizi specifici...
Ennio
Grazie per la risposta, più o meno sono cose che già so, a me interessava sapere se c'era una raccolta di informazioni che spiegasse che tipo di attacco potesse essere uno che arriva sulla porta x e pittosto che la porta y.
Sapresti indicarmi un sito dove vegono riportate tutte le porte principali e il loro utilizzo?
E magari quali servizi di Windows sono indispensabili e quali porte bisogna tenere aperte e quali chiudere?
Spero di essermi spiegato bene.
Ciao!
Sbagliando si impara, a volte potrei sbagliare, riprendetemi quando accade in modo da istruirmi. Declino ogni responsabilità delle inesattezze tecniche di quanto affermo!
Un sito???
Beh, se vuoi descrizioni veramente tecniche sui vari protocolli scaricati le RFC dell'IETF...
Sono in inglese e dettagliatissime... forse troppo... però se vuoi sapere tutto ma proprio tutto...
Se invece vuoi semplicemente una lista con breve descrizione dei possibili attacchi ti consiglio qualche sito che parla di sicurezza elettronica e delle telecomunicazioni...
Non ne conosco gli indirizzi... cerca...
Oppure in qualche manuale online (tipo quelli di manuali.it/.net).
Io, personalmente, ho trovato le info sui possibili attacchi su un libro: Hacker-L'attacco di john chirillo (venduto dalla apogeonline a 52€)...
Ennio
Sul sito della Apogeo non riesco a trovarloOriginariamente inviato da Rebirth_85
Io, personalmente, ho trovato le info sui possibili attacchi su un libro: Hacker-L'attacco di john chirillo (venduto dalla apogeonline a 52€)...
Forse è questo della McGraw-Hill?
Secondo te è un buon libro?
Grazie,
Ciao
comunque sappi che eventuali 'attacchi' segnalati dal firewall sono bloccati dallo stesso e quindi non corri pericoli. Considera che molti dei rilevamente sono normale traffico di rete, il resto sono probe (scansioni) su determinate porte per vedere se un server 'ascolta' dietro a quella porta. Il probe su una porta di per se non puo' definirsi un attacco e non è assolutamente illegale a meno che non sia insistente e tale da disturbare il tuo traffico di rete.
Se un attacco va a buon fine vuole dire che è stato in qualche modo bypassato di firewall e quindi in questo caso non ti puo' segnalare nulla. Conclusione se qualcuno entra non te ne rendi conto. Se il firewall ti dice che ha bloccato dei pacchetti vuole dire che non hai corso pericoli.
In ogni caso non serve essere paranoici. Ricorda piuttosto che un firewall è assolutamente inutile su usi dei software vulnerabili.
Se hai per esempio un server web devi dargli accesso alla rete tramite il FW. Se il server però ha dei 'buchi' chiunque dall'esterno puo'usare queste vulnerabilità per entrare e il FW non può fare nulla.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Sissi so tutte queste cose... Io cercavo solo qualche informazione basilare...In ogni caso non serve essere paranoici. Ricorda piuttosto che un firewall è assolutamente inutile su usi dei software vulnerabili.
Sbagliando si impara, a volte potrei sbagliare, riprendetemi quando accade in modo da istruirmi. Declino ogni responsabilità delle inesattezze tecniche di quanto affermo!
Le porte ufficialmente assegnate da IANA
http://www.iana.org/assignments/port-numbers
Per le porte più comuni usate dai trojan (ne trovi tante basta fare una ricerca):
http://www.simovits.com/nyheter9902.html
http://www.sans.org/resources/idfaq/oddports.php
Per i servizi microsoft le porte più comuni sono:
135 (RPC End Mapper -> MS RPC/DCOM)
137 (NetBios Name)
138 (NetBios Datagram)
139 (NetBios Session)
445 (Microsoft ds)
se non sei in una rete locale o non hai bisogno di condividere nulla con altri pc le puoi filtrare tutte. Considera che molti servizi possono far uso delle stesse porte.
altre info su ms:
http://www.iss.net/security_center/a...ft/default.htm
http://www.chebucto.ns.ca/~rakerman/port-table.html
http://support.microsoft.com/default...NoWebContent=1
http://www.microsoft.com/technet/tre...t4/tcpappc.asp
http://www.iss.net/security_center/a...ft/default.htm
http://www.chebucto.ns.ca/~rakerman/port-table.html
http://www.securityfocus.com/infocus/1581
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Grazie
Sbagliando si impara, a volte potrei sbagliare, riprendetemi quando accade in modo da istruirmi. Declino ogni responsabilità delle inesattezze tecniche di quanto affermo!
Permessi di invio
Rispondi quotando