servizio sconosciuto su porta

[Plettro]

Salve ragazzi!!
Ho l'ennesimo dubbio sulla sicurezza!
Ho trovato sul Pc di un amico, con il programma di esame delle porte aperte, che un paio si servizi "unknown" sono in ascolto o in time wait (che vuol dire poi time wait o close wait ??)
Tra l'altro un IP sulla porta 80 corrisponde a vcomm.interfree.it, cosa vuol dire secondo voi? C'entra ISP?
Faccio male, se noto una situazione del genere a lanciare ping -a per vedere il nome dell'host corrispondente, cioè è un controllo attendibile?
So di essere generico, ma sapete che sono all'inizio...
Ciao

[zello]

Per gli stati di una connessione tcp ti consiglio un buon manuale tcp/ip, la materia è un po' troppo complessa. Peraltro, ti consiglio di farlo comunque, se vuoi interessarti alla sicurezza.

Tra l'altro un IP sulla porta 80 corrisponde a vcomm.interfree.it, cosa vuol dire secondo voi? C'entra ISP?

Secondo me, che eri connesso ad un qualche sito hostato da interfree

Faccio male, se noto una situazione del genere a lanciare ping -a per vedere il nome dell'host corrispondente, cioè è un controllo attendibile?

Se sei sotto i derivati da nt, fossi in te userei nslookup. I risultati sono attendibili comunque. Sotto *nix (ma deve esistere un porting per windows), l'accoppiata host/dig è molto meglio.

[Nicola]

A chi interessa host e dig per WinNT/2K sono presenti nelle DNS Utils di bind8nt reperebili gratuitamente presso: http://bind8nt.meiway.com/download.cfm

Sono presenti anche nel server DNS Bind ma se non volete installarlo, come ho gia' detto, bastano le DNS Utils.

Ciao

[Plettro]

Susate per il ritardo della mia risposta! Vi ringrazio invece della vostra prontezza (come SEMPRE) !!!
Sarò sincero e riformulerò la domanda in modo che emerga o si evidenzi la mia (purtroppo) incompetenza !!
1) Ho active ports
2) Lo attivo e vedo sempre sulla porta 80 uno o più IP remoti in TIME WAIT o listen associati a servizi (cioè un programma o il browser penso io!) che sono UNKNOWN.
3) Incuriosito e inesperto (e senza voler svegliare il can che dorme)
digito per prova nslookup e accanto uno solo degli IP...risultato...ns1.d3310.net
4) E ora che faccio, come interpreto questo risultato??? Come capisco cosa o chi è?
FINE.
Mi rendo conto che vi farò ridere con il mio linguaggio e forse vi farò credere che voglia acquisire conoscenze complesse in un batter d'occhio, ma so che la mia conoscenza rispetto alla vostra è ELEMENTARE e un manuale di TCP forse non mi basterebbe...
Siete comunque gentilissimi a considerarmi lo stesso nonostante il divario culturale che esiste tra di noi!!! CIAOOOOOOO!!

[zello]

...ns1.d3310.net

???

Codice: Seleziona tutto

C:\>nslookup ns1.d3310.net
Server:  cns-b.libero.it
Address:  193.70.152.25

*** cns-b.libero.it can't find ns1.d3310.net: Non-existent domain

C:\>whois d3310.net
GeekTools Whois Proxy v5.0 Ready.
Checking access for 151.26.166.248... ok.
Checking server [whois.crsnic.net]
Results:
CRSNIC has no information for that domain.


Non esiste. Però, dal nome, mi sembra un nameserver - la porta remota è 53 (tcp o udp, più probabilmente udp)?

[Plettro]

Che dire?!!
Sono sicuro di non averlo sognato!! La porta remota è la 80, l'IP è 64.239.86.18 e il nome giusto che avevo sbagliato io!!! mi risulta ns1.di3310.net !!

[Nicola]

ns1.di3310.net esiste (credo che prima tu abbia sbagliato a scrivere):

Codice: Seleziona tutto

C:\>nslookup ns1.di3310.net
Server:  dnsca2.tin.it
Address:  212.216.172.222

Risposta da un server non di fiducia:
Nome:    ns1.di3310.net
Address:  64.239.86.18

Codice: Seleziona tutto

C:\>whois di3310.net

Whois Server Version 1.3

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: DI3310.NET
   Registrar: TUCOWS, INC.
   Whois Server: whois.opensrs.net
   Referral URL: http://www.opensrs.org
   Name Server: NS1.DI3310.NET
   Name Server: NS12.DI3310.NET
   Status: ACTIVE
   Updated Date: 04-jul-2002
   Creation Date: 04-jul-2002
   Expiration Date: 04-jul-2003
[cut]

Ho cuttato un po' la parte del registrante..

Se vuoi vedere tutto l'output vai su http://www.tuonome.it/whois.htm, inserisci di3310, seleziona .net e premi Cerca

Ciao

[Plettro]

Nicola ho fatto la prova...
E allora che faccio? Secondo te è regolare che un servizio sconosciuto si colleghi (ti riassumo) attraverso 2 mie porte locali 3255 e 3235 al suddetto IP remoto attraverso la porta 80 ?????????
Per me la cosa brutta è avere davanti delle informazioni (quelle ricavate da whois) e non capire al volo se c'è qualcosa che non va o meno. Mi basta un opinione...io non conosco affatto i dati di intestazione rilevati su ns1.di3310.net. Mi basta questo per capire che c'è stato (c'è) un tentativo di accesso non autorizzato da me?
Dammi una mano se puoi, e se non ti rompe!!!!!! GRAZIE MILLE

[Plettro]

Aggiungo che questo "inconveniente" si verifica praticamente ad ogni connessione. E io pur non avendo chissà quali informazioni da mantenere segrete sono infastidito dall'idea che qualcuno ficchi il naso nel mio PC. Ripeto, mi basterebbe sapere UN criterio, UN ragionamento per inesperto come me in base al quale capire subito se c'è un illecito oppure no. Come fate voi!! Solo questo, poi cerco di ragionare da me! I dati ricavati da whois sono talmente tanti e diversi per un solo dominio!!!!!
CHIEDO SCUSA per l'insistenza, veramente.

[pjfry]

scusa ma mi sembra strana la storia dei servizi 'unknown'... ho fatto un pò di prove e credo proprio che dovrebbe trattarsi di internet explorer, che quando navighi si collega da una porta locale tipo quelle di cui parli alla 80 del sito remoto (hai provato con un firewall a vedere che processo è?)

lo stato 'time_wait' dovrebbe significare che la connessione si stà chiudendo, non è in ascolto ma aspetta un timeout per sparire del tutto ( sinceramente non mi ricordo a cosa serva, ma credo proprio che da time_wait si possa andare solo verso la chiusura della connessione, non si può riaprire...)

[Nicola]

confermo.
IE apre una porta per ogni connessione verso un sito (che puo' essere usata solo per questo).

Ciao

[Plettro]

Ciao! Hai ragione, effettivamente il comportamento del "servizio" explorer è proprio come da te descritto, in generale.
Quello che non capisco è che alcune volte active ports indica esplicitamente "explorer" altre invece "unknown" perciò sono insospettito. Non mi torna questo duplice comportamento per uno stesso servizio. Farò la prova del firewall.
E un grazie enorme. Spero, pur con le mie piccole conoscenze, di poter essere utile anche io e ricambiare l'attenzione concessami.
Ciao! )
P.S. Per "leggere/interpretare" whois comunque hai qualche consiglio, magari una guida su internet?

[BianConiglio]

esattamente..una perta per ogni sito, dato che è una connessione per ogni sito...utilizza il firewall per la prova, ma cmq fai un qualcosa "a gradini" connettiti ad internet senza nessun processo che vi acceda, poi ne apri uno, poi un altro e via dicendo...così hai un buon margine di precisione

[Plettro]

Ragazzi siete MITICI (soprattutto tu...Nicola vista la tua instancabile e eccezionale dedizione). Ho fatto alcune verifiche e risulta proprio dimostrata la tesi su esposta. E' IExplorer. Almeno credo di essere abbastanza sicuro che sia lui, procedendo a gradini come indicato da Bianconiglio.
Ringrazio tutti e mi permetto di richiedere se qualcuno mi sa indicare una guida per "interpretare" le informazioni "whois" che per quanto possano sembrare evidentissime, per me non lo sono tutte quante!
GRAZIE davvero, a buon rendere!!!

[Nicola]

Bè il whois è molto semplice ci sono semplicemente i dati del provider e se e' intestato ad un'azienda o persona i dati quest'ultimi..

Se è un dominio viene indicato anche la data di registrazione, scadenza eccetera e i server DNS che servono per risolvere il nome in un IP, quello della macchina dove sta il sito web.

Ciao

[Plettro]

Nicola ti ringrazio nuovamente... mi servirò di whois se ne avrò ancora bisogno (sembra che tutti vogliano spiare me poi eh eh!!! sono esagerato lo so!!)
Ringrazio anche pjfry che era intervenuto! CIAO!!