Author Topic: Problema di sicurezza nella rete  (Read 3391 times)

cybercontrol

  • Newbie
  • *
  • Posts: 32
    • View Profile
on: August 23, 2012, 11:45:45 PM


vi chiedo cortesemente una mano per capire quanto mi accade , mi avvicino adesso alla lettura dei pacchetti quindi chiedo una mano a voi  che siete molto preparati   ,  vi spiego cosa rilevo ,
tramite un software che monitora la rete rilevo delle query  abbastanza frequenti  su protocollo DNS  verso la mia rete  di questo tipo

Time                         Client               Client Port          Server               Server Port          Query                               State           Result                                                       
2012/                    192.168.1.2          62329                192.168.1.1          53                   203.31.205.85.in-addr.arpa      Failed   

state :   Failed          Error Response: Host or domain name does not exist!   

oltre a questo  ho un'altra query sospetta , 


Time                         Client               Client Port          Server               Server Port          Query                        State            Result                                                                 
2012/0---             192.168.1.2          64949                192.168.1.1          53                   mscrl.microsoft.com          Success         
CNAME=certrevoc.vo.msecnd.net; A=65.54.89.228; A=65.54.89.224

quello che mi insospettisce è la dicitura CNAME=certrevoc.vo .......    potrebbe intendere certificato revocato ? quindi  un protocollo manomesso o non sicuro  ?  dovrebbe essere microsoft dall'ip  ma dubito che microsoft utilizzi protocolli revocati ..


unitamente a quello appena descritto se utilizzo nmap  ed eseguo una scansione locale per capire quali porte ho in ascolto ,  risolve il nome prima della scansione e mi vede come un sito web  digitaleterrestrefacile.it  un sito che tra l'altro ho bloccato tempo fa' .
Ho provato a flashare i dns  ipconfig /flashdns  a rinnovare tutte le schede  ho cancellato la cache del dns   ma non e' servito .

come posso capire e risolvere tutto questo ? dai fatemi capire
grazie







kripton99

  • Newbie
  • *
  • Posts: 2
    • View Profile
Reply #1 on: October 16, 2012, 09:59:46 PM



ostendali

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 588
    • View Profile
Reply #2 on: October 17, 2012, 08:44:02 PM


vi chiedo cortesemente una mano per capire quanto mi accade , mi avvicino adesso alla lettura dei pacchetti quindi chiedo una mano a voi  che siete molto preparati   ,  vi spiego cosa rilevo ,
tramite un software che monitora la rete rilevo delle query  abbastanza frequenti  su protocollo DNS  verso la mia rete  di questo tipo

Time                         Client               Client Port          Server               Server Port          Query                               State           Result                                                       
2012/                    192.168.1.2          62329                192.168.1.1          53                   203.31.205.85.in-addr.arpa      Failed   

state :   Failed          Error Response: Host or domain name does not exist!   

oltre a questo  ho un'altra query sospetta , 


Time                         Client               Client Port          Server               Server Port          Query                        State            Result                                                                 
2012/0---             192.168.1.2          64949                192.168.1.1          53                   mscrl.microsoft.com          Success         
CNAME=certrevoc.vo.msecnd.net; A=65.54.89.228; A=65.54.89.224

quello che mi insospettisce è la dicitura CNAME=certrevoc.vo .......    potrebbe intendere certificato revocato ? quindi  un protocollo manomesso o non sicuro  ?  dovrebbe essere microsoft dall'ip  ma dubito che microsoft utilizzi protocolli revocati ..


unitamente a quello appena descritto se utilizzo nmap  ed eseguo una scansione locale per capire quali porte ho in ascolto ,  risolve il nome prima della scansione e mi vede come un sito web  digitaleterrestrefacile.it  un sito che tra l'altro ho bloccato tempo fa' .
Ho provato a flashare i dns  ipconfig /flashdns  a rinnovare tutte le schede  ho cancellato la cache del dns   ma non e' servito .

come posso capire e risolvere tutto questo ? dai fatemi capire
grazie

ciao,
innanzitutto questo non e' il forum adatto per chiedere un supporto sui sistemi microsoft....le nozioni di base del Software Libero non farebbero alcun male se li dassi un occhiata....

venendo al tuo problema, e' palese che si tratta della micro$oft, il cname (che sta per canonical name) ti dice tutto:
ci sai arrivare ad usare nmap ma un semplice whois no eh:
NetRange:       65.52.0.0 - 65.55.255.255
CIDR:           65.52.0.0/14
OriginAS:       
NetName:        MICROSOFT-1BLK
NetHandle:      NET-65-52-0-0-1
Parent:         NET-65-0-0-0-0
NetType:        Direct Assignment
RegDate:        2001-02-14
Updated:        2012-03-20
Ref:            http://whois.arin.net/rest/net/NET-65-52-0-0-1


OrgName:        Microsoft Corp
OrgId:          MSFT
Address:        One Microsoft Way
City:           Redmond
StateProv:      WA
PostalCode:     98052
Country:        US
RegDate:        1998-07-10
Updated:        2011-04-26
Ref:            http://whois.arin.net/rest/org/MSFT

OrgTechHandle: MSFTP-ARIN
OrgTechName:   MSFT-POC
OrgTechPhone:  +1-425-882-8080
OrgTechEmail:  iprrms@microsoft.com
OrgTechRef:    http://whois.arin.net/rest/poc/MSFTP-ARIN
===========================================

detto questo, il tuo problema e' che usi micro$oft.
ciao!