Risultati da 1 a 9 di 9

Discussione: Log di ICF

  1. #1
    SWZone Staff - Moderatore L'avatar di Alberto
    Data Registrazione
    17-09-2001
    Località
    Bologna
    Messaggi
    10.492

    Log di ICF

    Stamani ho notato una strana attività nella mia connessione internet ... ho notato che malgrado tutti i programmi fossero inattivi ... l'icona della connessione adsl mi indicava un'attività in entrata e uscita.

    Ho esaminato il log di ICF il quale riportava spesso queste righe:

    2002-04-18 14:00:50 OPEN-INBOUND TCP 194.228.10.106 213.45.35.213 64731 6346 - - - - - - - -

    seguita dopo un po' da

    2002-04-18 14:01:27 CLOSE TCP 194.228.10.106 213.45.35.213 64731 6346 - - - - - - - -

    Incuriosito ho cercato di vedere a chi corrispondeva quell'IP

    ecco cosa mi sono trovato:

    inetnum: 194.228.10.1 - 194.228.10.127
    netname: NDC_NET
    descr: Mikulov
    descr: Prague
    country: CZ
    ......

    a questo punto non riesco più a capire se ICF mi ha bloccato o meno l'intruso

    ..... cosa ne pensate?

  2. #2
    La potenza è nulla senza il controllo
    Opteron Rules
    L'avatar di Luke
    Data Registrazione
    14-12-2001
    Località
    Venezia
    Messaggi
    4.861
    Hai fatto una scansione con l'antivirus, con le definizioni aggiornate, per vedere se non sia presente qualche trojan recente, e che quindi sia riuscito a bypassare il firewall?
    Member of the SWZone Bastard Club

  3. #3
    Software Zone Fanatic L'avatar di Steve3000
    Data Registrazione
    05-03-2002
    Località
    Ferrari City
    Messaggi
    5.990
    Dai dati corrispondenti all'IP è sicuro che è qualcuno dietro ad un Proxy. Non riesco ad analizzare a modo i dati perchè non uso ICS ma da quello che leggo sembra essere un protocollo TCP in entrata... ma non riesco a capire su che porta.

    Come consigliato da Luke, fai un controllo accurato con l'antivirus aggiornato e fai mente locale se hai aperto file .exe, .bat non troppo certi, negli ultimi tempi.

    E continua a fare attenzione al firewall...

    Tienici aggiornato

  4. #4
    SWZone Staff - Moderatore L'avatar di Alberto
    Data Registrazione
    17-09-2001
    Località
    Bologna
    Messaggi
    10.492
    Per leggere il log vedi questo documento di MS

    http://www.microsoft.com/TechNet/pro...erstanding.asp

    il dettaglio dei campi è il seguente:

    #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

    Quello che è strano ... che le due righe di cui ho detto si ripetono ogni tanto.

    La scansione con l'antivirus non mi ha dato nessuna segnalizione di sorta.

    Ho controllato con Aports e TCPView ... e nessuna attività è segnalata sulla mia porta 6346 ... che come vedete è indicata nel log

    il mio IP era 213.45.35.213 e quello del mio "amico" 194.228.10.106

    Quello che non capisco è quel

    OPEN-INBOUND TCP
    e
    CLOSE TCP

    Sembrerebbe che sia stato inviato sulla mia porta 6346 un pacchetto di dati dalla porta 64731 del mittente ... cercando di forzarne l'entrata

    A questo punto l'ICF dovrebbe averla chiusa pochi secondi dopo ... ed è per questo che Aports non mi ha rivelato nulla ... almeno credo che questa sia la spiegazione.

    Qualcuno sa dirmi se la mia interpretazione è giusta??

  5. #5
    Software Zone Fanatic L'avatar di Steve3000
    Data Registrazione
    05-03-2002
    Località
    Ferrari City
    Messaggi
    5.990
    gnutella-svc 6346/tcp gnutella-svc

    La porta 6346 è utilizzata da Gnutella o da programmi similari che utilizzano la stessa rete.

    Hai per caso installato nel PC un programma Peer to Peer?


  6. #6
    SWZone Staff - Moderatore L'avatar di Alberto
    Data Registrazione
    17-09-2001
    Località
    Bologna
    Messaggi
    10.492
    Si ma sono tutti inattivi ... ed infatti Aports o TCView me ne segnalano l'attività quando sono attivi, ma io li ho tutti chiusi e il messaggio continuo a riceverlo!

  7. #7
    SWZone Staff - Moderatore L'avatar di Alberto
    Data Registrazione
    17-09-2001
    Località
    Bologna
    Messaggi
    10.492
    Credo di aver risolto il problema ...

    Ve lo comunico ... così che possa essere di aiuto anche per gli altri ... ed anche per avere una conferma delle mie supposizioni.

    Io utilizzo dei programmi P2P sulla rete Gnutella, e come ha detto
    Steve3000 la porta 6346 è utilizzata per:

    gnutella-svc 6346/tcp gnutella-svc

    Il problema era che non avevo nessun programma attivo.

    Poi, ragionandoci sopra, ho ritenuto che il mio interlocutore nel corso del suo collegamento avesse col suo "servent" localizzato il mio IP per scaricare un MP3 dal mio PC, ma essendo io dietro un firewall effettuava periodicamente un "push" per "scaricare" il mio file ... ricevendo un rifiuto dal mio servent ... e tutto ricominciava periodicamente.

    In ogni caso rimane il fatto che la porta 6346 rimane comunque aperta ... e non c'è firewall che tenga (a meno che non lo istruisca di chiuderla comunque) ... in quanto i firewall più accreditati (ZA e NIS) normalmente attivano automaticamente le porte in relazione al programma utilizzato.

    Spetta all'utente il bloccarle anche se questo significa ....un utilizzo ridotto del servent ... ossia l'utilizzo solo per lo scarico da altri di file ...

    ... ma questo significa che il P2P si va a far benedire nella sua filosofia!


    Se qualcuno, magari più esperto di me, volesse confermarmi le mie supposizioni, mi farebbe cosa gradita, ... ed ancor più se riuscisse a chiarirmi il log di ICF ... al di la della semplice spiegazione dei vari campi fatta da MS.

    A presto

  8. #8
    Software Zone Fanatic L'avatar di Steve3000
    Data Registrazione
    05-03-2002
    Località
    Ferrari City
    Messaggi
    5.990
    Scusami... ho ritardato un sacco nella risposta.

    Il fatto che tu abbia Gnutella o client P2P installati, significa che hai condiviso file in Internet.

    Se un altro utente ha memorizzato un programma presente nel tuo hard disk nella cartella Sharing e non ha finito di scaricarlo... quando riattiverà il programma... questo tenterà di riaccedere alla tua porta. Se hai il Client P2P spento... rimbalzerà contro il tuo PC e probabilmente il firewall ti segnala quel avviso.


  9. #9
    SWZone Staff - Moderatore L'avatar di Vitoz
    Data Registrazione
    06-09-2001
    Località
    Vulcan
    Messaggi
    7.292
    noto il thread solo ora, ma la mia idea e' simile a quelle gia' espresse: IMHO trattasi del P2P in "attesa"
    \\// Lunga vita e prosperità

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •