Questo post è stato esaminato e le informazioni sono ancora rilevanti a giugno 2018.
All’inizio del 2012, ho scritto un articolo chiamato Scansione porte aperte in Windows: Una guida rapida che copriva come utilizzare NetStat.exe, lista delle attività.exe, vista TCP.exe e PortQry.exe e scansione porte aperte in Windows: Parte 3 che ha coperto come utilizzare NMAP per visualizzare le porte aperte e risolvere i problemi di connettività di rete delle applicazioni lato client o server., Questo articolo è una continuazione di questo e discute altri tre strumenti gratuiti che è possibile utilizzare per verificare la presenza di porte aperte – Telnet, CurrPorts.exe e TCPEye.exe.
Telnet
Per iniziare, uno strumento che ho pensato sarebbe degno di una breve menzione è Telnet. Utilizzando il comando telnet è possibile verificare rapidamente se una porta specifica è aperta su un host nella rete., Per fare questo:
- Aprire una finestra del prompt dei comandi
- Tipo telnet hostname port_number o telnet ip_address port_number
Sostituire il nome host o ip_address con il nome o l’indirizzo IP della macchina a cui si desidera connettersi, e port_number con il numero di porta che si desidera testare. Verrà visualizzata una schermata vuota se la connessione ha avuto esito positivo (indicando che la porta specificata è aperta).
Nota: in Windows Vista/7 / 8, Telnet è disabilitato per impostazione predefinita., Per abilitarlo:
- Vai al Pannello di controllo> Programmi e funzionalità> Attiva o disattiva le funzionalità di Windows
- Controlla Telnet Server e Telnet Client
- Fai clic su OK per avere le funzionalità installate.
CurrPorts
Un altro utile strumento da aggiungere alla tua collezione è CurrPorts. CurrPorts viene eseguito come applicazione standalone che visualizza tutte le porte TCP e UDP aperte sul computer locale e informazioni dettagliate su quale processo ha aperto quelle porte., Utilizzando questo strumento, è possibile anche:
- Chiudere connessioni TCP indesiderate (durante l’esecuzione in un account admin)
- Uccidere il processo che ha aperto la porta
- Esporta la porta TCP/UDP informazioni in un file
- Filtro le informazioni visualizzate per visualizzare o nascondere le porte TCP/UDP, porte in ascolto, stabilito, chiuso, e anche il flag di porte che non sono associati con una nota di applicazione.
Per aprire CurrPorts, è sufficiente estrarre il file ZIP ed eseguire CurrPorts.exe. Elencherà immediatamente le informazioni su tutte le porte attualmente aperte., Utilizzare il menu Opzioni per filtrare le informazioni sulla porta che si desidera visualizzare.
L’immagine seguente mostra come potrebbe apparire una connessione sospetta se si stesse indagando su una macchina locale. In questo esempio, ho creato una piccola applicazione console in C# per simulare la connettività di rete client / server che si connette alla porta 6996 sull’indirizzo IP locale. È possibile utilizzare la colonna “Paese IP remoto” all’estrema destra della finestra per fornire una rapida indicazione di dove si trova il server remoto.
Nota: nel mondo reale, un processo dannoso (ad es., botnet) avrebbe un indirizzo remoto diverso (ai fini di questo esempio i processi client e server sono in esecuzione sulla stessa macchina).
Qualunque cosa tu stia indagando, guarda il nome del processo e il numero di porta insieme per determinare se qualcosa sembra fuori dall’ordinario. In alternativa, se stai cercando una porta aperta specifica, ordina la colonna” Porta locale “o” Porta remota” e cerca il numero di porta in questione.,
La barra di stato nella parte inferiore della finestra CurrPorts mostra la quantità totale di porte in uso e il numero di connessioni remote stabilite.
TCPEye
Infine, simile a CurrPorts è un’applicazione chiamata TCPEye. TCPEye visualizza anche un elenco di tutte le porte TCP/UDP attualmente aperte sul computer locale e mostra informazioni dettagliate sul processo che ha aperto la porta., Come CurrPorts, TCPEye consente anche di:
- Visualizzare in quale paese si trova il server remoto
- Chiudere le connessioni TCP indesiderate
- Salvare le informazioni sulla porta TCP / UDP in un file HTML, XML o CSV.
Una caratteristica standout in TCPEye è che se si nota un processo sospetto (ad esempio uno che è collegato ad una porta aperta e un indirizzo remoto), è possibile fare clic destro su di esso e selezionare “Controlla con VirusTotal” per il processo di informazioni per essere caricati e analizzati da VirusTotal (come mostrato nell’immagine qui sotto).,
Una cosa da notare su TCPEye è che non viene eseguito come applicazione standalone e richiederà prima l’installazione.
Leave a Reply