Domanda Livello domini come sono concatenati?

Stato
Discussione chiusa ad ulteriori risposte.

blackWindow01

Utente Silver
3 Novembre 2017
116
35
5
91
Ciao a tutti ho trovato in un sito i suoi sottodomini e facendo delle ricerche ho visto che il dominio di secondo livello www.xxxx.it è collocato con server inglese, mentre i sottodomini che sono yyyyyy.xxxx.it e zzzzz.xxxx.it il primo è basato su server americano mentre il secondo è basato su server italiano. Questi siti pur essendo sottodomini possono avere server differenti? Per quale motivo scelgono server differenti? Ultima domanda per tentare un PenTest (per capire come funziona la sicurezza) in pratica bisogna prima superare i vari livelli di dominio? Perchè (anche se si dovrebbe usare Kalilinux )ho usato cmd solo per capire se il mio pc e il loro server comunicano e ho notato che al secondo livello il yyyyyy.xxxx.it su server americano comunica infatti i pacchetti trasmessi sono 100% mentre zzzzz.xxxx.it su server italiano facendo il ping mi esce richiesta scaduta. Come mai?
Grazie a chi mi darà una spiegazione!
 
I domini sono gestiti dal DNS, ergo possono puntare a qualsiasi cosa. Esempio:
www.inforge.net e inforge.net puntano allo stesso server. Ma discord.inforge.net può puntare all'indirizzo del Discord (è solo un esempio).

Per il pentesting, i domini non sono minimamente un livello di sicurezza, sembrerebbe che vedi questa roba come barriere da superare ma non lo sono assolutamente.
Il pacchetto che invii tramite ping è noto, utilizza un protocollo tutto suo, quindi il server che lo riceve può benissimo scartarlo e quindi ritornare Richiesta scaduta.
 
  • Mi piace
Reazioni: lupobianco
Ok perfetto! Si volevo capire infatti avevo capito bene che non erano concatenati. Grazie! E quindi con CMD invio una ping request che va poi timed out. Per qualè principio va in timed out . Potete consigliarmi una guida, testi, articoli anche inglesi che può chiarirmi la comunicazione tra server e client. Grazie
 
Il comando ping appartiene al protocollo ICMP (Internet Control Message Protocol) e in generale è abilitata in ogni sistema. Un server può disabilitare le risposte ICMP (dove comprendono anche i traceroute etc..) per evitare attacchi DoS ICMP, essendo utilizzata la porta 7 per gli echo request. Se un serve risponde al ping allora è on-line. Se un server non risponde, non è detto che sia offline.

Per l'architettura client-server, non conosco la tua preparazione informatica.

PDF che parla dell'architettura client-server http://www.dii.unisi.it/~benelli/scienze_della_comunicazione/dispense/2005_06/ClientServer.pdf
PDF che parla dei protocolli più famosi (tra cui ICMP) http://www.di.univr.it/documenti/OccorrenzaIns/matdid/matdid403302.pdf

MP
 
  • Mi piace
Reazioni: AlessioDP
Ultima modifica:
... E quindi con CMD ...
Non si dice "con CMD", piuttosto "con il terminale" o "con la shell".

Per qualè principio va in timed out .
Perchè il server di destinazione scarta / blocca i pacchetti relativi al protocollo ICMP (*)? Perchè lo fa uno dei router intermedi posti sulla strada per arrivare al server di destinazione? Boh ... occorre un'analisi

(*) il protocollo ICMP è quello utilizzato dal comando ping.

Potete consigliarmi una guida, testi, articoli anche inglesi che può chiarirmi la comunicazione tra server e client. Grazie
L'argomento è molto vasto. Inizia con il cercare in Rete "teoria delle reti di comunicazione a pacchetto"

... ho usato cmd solo per capire se il mio pc e il loro server comunicano e ...
Il fatto che il server di destinazione (supponiamo) blocchi il protocollo ICMP non significa necessariamente che il tuo PC non possa comunicare con questo server. Per comunicare con un server possono essere usati differenti protocolli, differenti porte, etc ... Alcune modalità potrebbero essere permesse, altre no (sulla base delle regole impostate sul suo firewall perimetrale e dei servizi installati ed esposti sulla rete).

Fondamenti di Penetration Testing - Fase 2 - Enumerazione
 
Si avevo letti i vari TYPE dell'ICMP. @MichPower si sono arrivato proprio ai protocolli partendo da ping ICMP infatti ! @waido Quindi occorre fare un analisi per capire le motivazioni? E' evidente che è per un blocco del server per evitare i DOS ICMP come detto da Mich. In che modo lato client posso effettuare questa analisi? Mi ero imbattuto in un articolo che parlava proprio di perdita pacchetti e dei router intermedi (anche se non è questo il caso) In che modo si può effettuare l'analisi ? Per qualsiasi guida articolo e ben accetta anche in inglese grazie.
 
Si avevo letti i vari TYPE dell'ICMP. @MichPower si sono arrivato proprio ai protocolli partendo da ping ICMP infatti ! @waido Quindi occorre fare un analisi per capire le motivazioni? E' evidente che è per un blocco del server per evitare i DOS ICMP come detto da Mich. In che modo lato client posso effettuare questa analisi? Mi ero imbattuto in un articolo che parlava proprio di perdita pacchetti e dei router intermedi (anche se non è questo il caso) In che modo si può effettuare l'analisi ? Per qualsiasi guida articolo e ben accetta anche in inglese grazie.
Semplicemente non puoi fare un ping, cos'altro puoi fare? Provi a vedere se ci sta un qualche servizio nelle porte note.
Ad esempio con nmap puoi fare una scan del server.
 
  • Mi piace
Reazioni: MichPower
Per curiosità potresti fare un traceroute (LINK) così tanto per.
Il risultato comunque non cambia, non sarà raggiungibile tramite protocollo ICMP.

Magari tramite HTTPS si (porta 443 TCP), permettendoti di visualizzare il suo web server.

MP
 
Porte ovviamente aperte 80 e 443. Ma non riesco a capire perchè avendo inserito le predette porte utilizzando Angry IP scanner non risultano aperte! Comunque @MichPower ho eseguito tracert hostname sul terminale e mi sono usciti diversi dati riferiti agli hop. Ho notato che inserendo direttamente il dominio mi va sulla pagina utente, mentre inserendo l'ip xxx.xxx.xxx.xxx. mi fa ritrovare nella sezione aiuto.xxxx.it e da li non ritorna nella sezione principale. E' normale?
 

Allegati

  • https.jpg
    https.jpg
    27.4 KB · Visualizzazioni: 10
Ultima modifica:
Non dipende dal DNS Server, dipende dal Web Server.
Supponiamo che i due domini www.primosito.org e www.secondosito.org vengano entrambi risolti con l'indirizzo IP 1.2.3.4. Se la richiesta HTTP arriverà al Web Server (1.2.3.4) con il riferimento a www.primosito.org verranno servite le pagine di questo sito. Se la richiesta HTTP arriverà al Web Server (1.2.3.4) con il riferimento a www.secondosito.org verranno servite le pagine di quest'altro sito. Se la richiesta HTTP arriverà al Web Server (1.2.3.4) contenendo solo l'indirizzo IP ... beh ... molto probabilmente verrà servita una qualche pagina di servizio, diciamo che dipende da come è configurato il Web Server.

Il comando ping appartiene al protocollo ICMP ...
Non è proprio esatto. Diciamo che il comando ping, come il comando traceroute, usa il protocollo ICMP per svolgere il proprio compito. Si potrebbe anche usare un protocollo diverso, ad esempio TCP o UDP ... e su Linux è possibile farlo, per sollecitare il sistema target in modi diversi. Protocollo che usi ... risposta che hai ...
 
  • Mi piace
Reazioni: blackWindow01
Ultima modifica:
Quindi è probabile che per i tecnici che agiranno sulla parte tecnica è importante l'indirizzo IP (quindi risoluzione inversa) mentre per chiunque inserisca l'hostname (risoluzione DNS) viene considerato utente . Perchè nella risoluzione inversa esce solo la pagina aiuto.xxxx.it. Vorrei capire tutti i tentativi falliti nell'inserire dati di accesso(ovviamente errati) da terminale come il mio al sito zzzz.xxx.it/admin vengono registrati dal chi subisce "attacco"? Il firewall perimetrale registra tali azioni?
@Weido il punto è che il sito www.xxx.it ha un indirizzo IP diverso dal zzzzz.xxx.it come gia detto prima . Quindi l'indirizzo IP che io vado ad inserire (corrispondente a zzzzz.xxxx.it )so che ha solo quell'hostname come riferimento perchè non mi dice su questo IP puoi trovare altri 3 siti ecc. E inserendo l'IP mi porta sulla pagina aiuto.xxxx.it quindi nella risoluzione inversa si ferma li.
So benissimo che non è un attacco anzi sarebbe da sciocchi fare tentativi del genere senza senso, perchè non ho una vpn non so nulla e quindi non conoscendo la struttura nei dettagli potrei fregarmi da solo. (Si!Potrei usare una VPN, e comunque dovrei sempre imparare a muovermi e poi capire come eliminare i file di LOG e leggendo mi pare sia piuttusto complicato). Voglio approfondire perchè sono ignorante in materia e sarei felice di padroneggiare queste conoscenze che sono Fondamentali Grazie
 
Ultima modifica:
Quindi è probabile che per i tecnici che agiranno sulla parte tecnica è importante l'indirizzo IP (quindi risoluzione inversa) mentre per chiunque inserisca l'hostname (risoluzione DNS) viene considerato utente . Perchè nella risoluzione inversa esce solo la pagina aiuto.xxxx.it.
Non penso di aver capito cosa intendi dire.

Vorrei capire tutti i tentativi falliti nell'inserire dati di accesso(ovviamente errati) da terminale come il mio al sito zzzz.xxx.it/admin vengono registrati dal chi subisce "attacco"? Il firewall perimetrale registra tali azioni?
Al 99,9% si, tutte le tue richieste sono state registrate.

@Weido il punto è che il sito www.xxx.it ha un indirizzo IP diverso dal zzzzz.xxx.it come gia detto prima .
Allora fanno riferimento a due Web Server diversi

Quindi l'indirizzo IP che io vado ad inserire (corrispondente a zzzzz.xxxx.it )so che ha solo quell'hostname come riferimento perchè non mi dice su questo IP puoi trovare altri 3 siti ecc. E inserendo l'IP mi porta sulla pagina aiuto.xxxx.it quindi nella risoluzione inversa si ferma li.
Stai sovrapponendo i concetti di sito Web, servito da un Web Server e risoluzione DNS. Lo scopo del DNS è quello di tradurre un nome di dominio nel corrispondente indirizzo IP, stop. Il DNS Server non sa nulla di siti Web, di quelli se ne occupa il Web Server e un Web Server con un unico indirzzo IP può servire più siti Web, che ovviamente hanno nomi differenti.

La risoluzione DNS inversa non è affidabile, o meglio ... esaustiva. Il DNS non è stato pensato per questo scopo.

E inserendo l'IP mi porta sulla pagina aiuto.xxxx.it quindi nella risoluzione inversa si ferma li.
Qui non c'è alcuna risoluzione DNS inversa. (*) Fai una richiesta HTTP specificando direttamente l'indirizzo IP. Il Web Server vedendo specificato solo l'indirzzo IP probabilmente ti reinoltra ad una pagina di servizio, magari di un altro sito, magari ospitata su un altro Web Server.
Senza i dati "veri" posso solo fare delle ipotesi.

Le applicazioni che comunicano via rete "non capiscono" i nomi, hanno bisogno di un indirizzo IP (da inserire nei pacchetti IP). Quindi, se nell'applicazione che stai usando specifichi un nome come destinazione, allora verrà effettuata una risoluzione DNS per tradurre il nome in indirizzo IP, se invece specifichi l'indirizzo IP verrà utilizzato direttamente quello, senza effettuare alcuna risoluzione DNS. Tuuto questo processo è ovviamente trasparente per te, se ne occupa il sistema operativo.
 
  • Mi piace
Reazioni: blackWindow01
Non penso di aver capito cosa intendi dire.

Intendevo dire (perchè non sono preparato) che immaginavo che inserendo nell'URL l'indirizzo IP mi portasse alla pagina aiuto.xxxx.it perchè gli assistenti i tecnici entrano da li (ma è una boiata colossale) perchè usano il webserver che risulta essere Apache, ho comunque gli assistenti hanno un 'interfaccia di back end dove prendono in consegna le richieste degli utenti. Correggimi se sbaglio.
Cosa mmi consigli di approfondire?(ce tanto da capire)

Comunque si mi è chiaro il compito di DNS e Web Server mi è chiaro. Grazie!
 
Intendevo dire (perchè non sono preparato) che immaginavo che inserendo nell'URL l'indirizzo IP mi portasse alla pagina aiuto.xxxx.it perchè gli assistenti i tecnici entrano da li (ma è una boiata colossale) perchè usano il webserver che risulta essere Apache, ho comunque gli assistenti hanno un 'interfaccia di back end dove prendono in consegna le richieste degli utenti. Correggimi se sbaglio.
Si i "tecnici" solitamente usano delle interfacce dedicate che gli "utenti" non vedono.

Cosa mmi consigli di approfondire?(ce tanto da capire)
Qual'è il tuo obiettivo specifico? "Imparare" è troppo vago.
 
Al momento sto studiando i protocolli di rete in seguito vorrei comprendere la struttura internet nei passaggi:
-(In virtù dell'argomento che si affrontava) di cosa si compone un web server sia a livello hardware che software e come connetterlo alla rete;
-Comprendere sturuttura back end e front end (so roba di base anzi direi spicciola tipo i vari developer e i linguaggi di programmazione utilizzati) come si connettono e come costruirli
-Come fare PenTesting con KaliLinux
-Come proteggermi sia nell'ordinario che nello "straordinario" ossia se dovessi utilizzare Kali e tentare delle robe con le conoscenze che ho (0) farei dei casini e non so se con Kali sarei soggetto ad attacchi.
Lo so un passo alla volta ma almeno inizio a metterci le mani. :D
"Sulla risoluzione Inversa devo approfondire "
 
Beh hai elencato ancora tanti (e vasti) argomenti. Non so se la tua ricerca è fatta a fini lavorativi (e per quale ambito) o solamente per diletto personale. Forse io inizierei dalla teoria delle reti di calcolatori. Tieni presente che per coprire anche solo grossolanamente tutto quanto hai elencato occorrono anni di studio e di pratica.
 
Ok allora è stato corretto ordinare il testo di Tanenbaum! E poi back end!
Ho letto che i full stack developer hanno anni alle spalle. Si impari a programmare ma poi devi evitare i bug, evitare eventuali vulenarabilità soprattutto se crei un ecommerce, insomma assimilare tutto non è roba di pochi anni. Un passo alla volta! ;)
Tornando al vecchio discorso sapendo che hanno httpd apache e IP bisogna conoscere vita morte e miracoli dell'ambiente che attacco?
 
"Reti di Calcolatori" di Tanenbaum è un ottimo testo. Io avevo anche comprato e inziato a leggere "Reti di calcolatori e Internet: un approccio top down" di Kurose.

Per tentare di hackerare qualsiasi cosa occorre sempre sapere il più possibile. Fondamenti di Penetration Testing - Fase 1 - Information Gatering
 
  • Mi piace
Reazioni: blackWindow01
Stato
Discussione chiusa ad ulteriori risposte.