Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum1 -- CercaGlobale -- Informativa su Cookie e Privacy


Valutazione discussione:
  • 1 voto(i) - 5 media
  • 1
  • 2
  • 3
  • 4
  • 5
ping,Nmap,whois - identificare uno sconosciuto
#1
Ciao amici, in questa discussione  ho riportato alcuni esempi pratici sull' utilizzo di Nmap per la scansione delle porte del nostro sistema e di altri eventuali host attivi nella nostra sottorete. Con ping e whois vi mostrerò con alcuni esempi come è possibile recuperare delle informazioni , prima però devo sottolineare il fatto che Nmap può essere utilizzato anche per la scansione delle porte di sistemi ( PC, server, siti web ) che stanno all' esterno della nostra sottorete, ovvero sul Web. Per poter fare questo però ci occorre sapere una cosa. Che cosa ?

 - Ovviamente ci occorre l' indirizzo IP del sito, computer o server che vogliamo scansionare.

Per recuperare l' IP che ci serve utilizzeremo il comando ping, se ad esempio voglio recuperare l' indirizzo IP del New York Times non devo fare altro che dare il comando " ping indirizzoweb ", ovvero devo "pingare" il sito.
Nel caso specifico del New York Times, darò:

ping w ww.nytimes.com ed ecco cosa succederà: ( per interrompere il ping premere CTRL c )
Codice:
teo@teo ~ $ ping www.nytimes.com
PING www.gtm.nytimes.com (170.149.161.130) 56(84) bytes of data.
Come potete vedere il ping mi ha restituito l' IP del sito ( 170.149.161.130)  Smile  A questo punto se voglio fare una verifica che l' IP corrisponda veramente al sito, ho due possibilità: utilizzare Nmap oppure il comando whois
( whois è generalmente presente nei repo ufficiali di tutte le maggiori distribuzioni.)

faccio una verifica con Nmap e vedo che mi restituisce l' indirizzo dell' nytimes.com
Codice:
teo@teo ~ $ nmap -sL 170.149.161.130

Starting Nmap 6.47 ( http://nmap.org ) at 2015-09-17 13:51 CEST
Nmap scan report for www.ewr1.nytimes.com (170.149.161.130)
Nmap done: 1 IP address (0 hosts up) scanned in 0.23 seconds
teo@teo ~ $
Per avere informazioni molto più dettagliate utilizzerò whois
Codice:
teo@teo ~ $ whois 170.149.161.130

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=170.149.161.130?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

NetRange:       170.149.0.0 - 170.149.255.255
CIDR:           170.149.0.0/16
NetName:        NYTCO
NetHandle:      NET-170-149-0-0-1
Parent:         NET170 (NET-170-0-0-0-0)
NetType:        Direct Assignment
OriginAS:      
Organization:   The New York Times Company (NYT-1)
RegDate:        1994-05-18
Updated:        2008-06-03
Ref:            http://whois.arin.net/rest/net/NET-170-149-0-0-1


OrgName:        The New York Times Company
OrgId:          NYT-1
Address:        620 8th Ave
City:           New York
StateProv:      NY
PostalCode:     10018
Country:        US
RegDate:        1994-03-30
Updated:        2015-05-13
Ref:            http://whois.arin.net/rest/org/NYT-1


OrgNOCHandle: RSL29-ARIN
OrgNOCName:   Slesinski, Robert
OrgNOCPhone:  +1-212-556-1133
OrgNOCEmail:  bob@nytimes.com
OrgNOCRef:    http://whois.arin.net/rest/poc/RSL29-ARIN

OrgNOCHandle: CASTR8-ARIN
OrgNOCName:   Castro, Alex
OrgNOCPhone:  +1-212-556-2061
OrgNOCEmail:  castro@nytimes.com
OrgNOCRef:    http://whois.arin.net/rest/poc/CASTR8-ARIN

OrgAbuseHandle: LIEND-ARIN
OrgAbuseName:   Liendo, Christian
OrgAbusePhone:  +1-212-556-8041
OrgAbuseEmail:  christian.liendo@nytimes.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/LIEND-ARIN

OrgTechHandle: RSL29-ARIN
OrgTechName:   Slesinski, Robert
OrgTechPhone:  +1-212-556-1133
OrgTechEmail:  bob@nytimes.com
OrgTechRef:    http://whois.arin.net/rest/poc/RSL29-ARIN

OrgTechHandle: CASTR8-ARIN
OrgTechName:   Castro, Alex
OrgTechPhone:  +1-212-556-2061
OrgTechEmail:  castro@nytimes.com
OrgTechRef:    http://whois.arin.net/rest/poc/CASTR8-ARIN

OrgAbuseHandle: GSE13-ARIN
OrgAbuseName:   Sebel, Gary
OrgAbusePhone:  +1-646-698-8212
OrgAbuseEmail:  sebel@nytimes.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/GSE13-ARIN

OrgTechHandle: MEDDA-ARIN
OrgTechName:   Meddahi, Karim
OrgTechPhone:  +1-212-556-8065
OrgTechEmail:  meddahi@nytimes.com
OrgTechRef:    http://whois.arin.net/rest/poc/MEDDA-ARIN

OrgTechHandle: LIEND-ARIN
OrgTechName:   Liendo, Christian
OrgTechPhone:  +1-212-556-8041
OrgTechEmail:  christian.liendo@nytimes.com
OrgTechRef:    http://whois.arin.net/rest/poc/LIEND-ARIN

OrgAbuseHandle: CASTR8-ARIN
OrgAbuseName:   Castro, Alex
OrgAbusePhone:  +1-212-556-2061
OrgAbuseEmail:  castro@nytimes.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/CASTR8-ARIN

OrgAbuseHandle: MEDDA-ARIN
OrgAbuseName:   Meddahi, Karim
OrgAbusePhone:  +1-212-556-8065
OrgAbuseEmail:  meddahi@nytimes.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/MEDDA-ARIN

RTechHandle: ZT84-ARIN
RTechName:   Hostmaster
RTechPhone:  +1-212-556-1234
RTechEmail:  hostmaster@nytimes.com
RTechRef:    http://whois.arin.net/rest/poc/ZT84-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#

teo@teo ~ $

Ora che ho la conferma che l' IP corrisponde al sito, posso anche lanciare Nmap con opzioni differenti dalle precedenti  e scoprire come è configurato il sito
Codice:
teo@teo ~ $ nmap -T4 -A 170.149.161.130

Starting Nmap 6.47 ( http://nmap.org ) at 2015-09-17 13:58 CEST
Nmap scan report for www.ewr1.nytimes.com (170.149.161.130)
Host is up (0.20s latency).
Not shown: 996 filtered ports
PORT    STATE  SERVICE        VERSION
22/tcp  closed ssh
53/tcp  closed domain
80/tcp  open   http           Apache httpd
|_http-methods: No Allow or Public header in OPTIONS response (status code 200)
| http-robots.txt: 24 disallowed entries (15 shown)
| /ads/ /adx/bin/ /archives/ /auth/ /cnet/ /college/
| /external/ /financialtimes/ /idg/ /indexes/ /library/
| /nytimes-partners/ /packages/flash/multimedia/TEMPLATES/
|_/pages/college/ /paidcontent/
|_http-title: The New York Times - Breaking News, World News & Multimedia
443/tcp open   ssl/http-proxy Varnish
|_http-generator: ERROR: Script execution failed (use -d to debug)
|_http-methods: No Allow or Public header in OPTIONS response (status code 301)
|_http-title: Did not follow redirect to http://www.nytimes.com/
| ssl-cert: Subject: commonName=nytimes.com
| Not valid before: 2015-05-20T23:00:00+00:00
|_Not valid after:  2018-05-20T22:59:59+00:00
|_ssl-date: 2015-09-17T11:58:58+00:00; 0s from local time.

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 56.14 seconds
teo@teo ~ $
Dal risultato ottenuto possiamo vedere che la porta 443 destinata ad SSL e HTTPS è aperta così come è aperta la porta 80 HTTP dove troviamo presente il server Apache. Smile  È in questo modo che gli hacker recuperano l' IP dei loro bersagli e trovano le porte aperte sulle quali sferrare i loro attacchi, ma noi non siamo hacker  e di conseguenza utilizzeremo questi comandi per altri scopi, ovvero per identificare un eventuale intruso nella nostra rete.
 
In sostanza se rileviamo un intruso nella nostra rete, con gli esempi e i comandi che ho postato siamo in grado di recuperare delle informazioni. Se rileviamo un IP che non sappiamo a chi appartiene, possiamo risalire al nome dell' host tramite il comando whois indirizzoip o il comando Nmap -sL inirizzoip  Se invece abbiamo un indirizzo web, possiamo risalire all' indirizzo IP tramite il comando ping indirizzoweb Tongue Questo è tutto


Ho aperto questa discussione solo ed esclusivamente a scopo dimostrativo e per fornire all' utente le nozioni basilari per identificare e scansionare un eventuale intruso nella propria rete.
[Immagine: http://i61.tinypic.com/migwsz.jpg]  [Immagine: http://i65.tinypic.com/2rp9u80.jpgGrazie al cielo esiste Linux
Cita messaggio
Grazie da: ZorinOS
#2
Bravo Teo interessante il tuo post, grazie. At  Tongue
Pace e Serenità a tutti voi per un mondo migliore Tongue  Heart
Cita messaggio
Grazie da: Teo
#3
wow..
Quindi se si conosce un DNS attraverso il ping si può arrivare all'IP
domanda: questo si può fare quando l'IP ad esso associato è statico come avviene appunto nei domini dei siti web ma per gli IP dinamici? teoricamente basterebbe che la macchina associata a quell'IP si scollega o che il suo ISP a cui si appoggia gli riassegna un altro IP per perderlo o sbaglio?

Attraverso questo sistema si potrebbe monitorare la mia rete è scoprire eventualmente se siamo monitorati attraverso un attacco del tipo man in the middle? Credo però che in questo caso l'hacker che fa da tramite sarebbe comunque proxato o coperto da una VPN proprio per evitare di essere tracciato..
"Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire!" Edward Snowden  Tongue
Cita messaggio
Grazie da:
#4
(22-12-2015,00:09 )ZorinOS Ha scritto: wow..
Quindi se si conosce un DNS attraverso il ping si può arrivare all'IP
domanda: questo si può fare quando l'IP ad esso associato è statico come avviene appunto nei domini dei siti web ma per gli IP dinamici? teoricamente basterebbe che la macchina associata a quell'IP si scollega o che il suo ISP a cui si appoggia gli riassegna un altro IP per perderlo o sbaglio?
Esattamente, le uniche cose che non cambiano in questo caso sono il MAC address della scheda di rete utilizzata e il nome dell' host ( etc/hostname ) che poi, se vogliamo dirla tutta, non è del tutto vero perchè anche quelli si possono cambiare, volendo.

Un discorso a parte è invece la tua linea internet, se quella è "controllata" non si scappa.
[Immagine: http://i61.tinypic.com/migwsz.jpg]  [Immagine: http://i65.tinypic.com/2rp9u80.jpgGrazie al cielo esiste Linux
Cita messaggio
Grazie da:


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)