Controllare quando è stato riavviato il sistema in Windows

Spesso è utile sapere in che momento è stato riavviato un sistema Windows , che sia un server o un sistema desktop. E’ possibile conoscere l’esatto momento in cui è avvenuto il riavvio guardando tra gli eventi di Windows. Gli step da seguire sono i seguenti: […]

Spesso è utile sapere in che momento è stato riavviato un sistema Windows , che sia un server o un sistema desktop. E’ possibile conoscere l’esatto momento in cui è avvenuto il riavvio guardando tra gli eventi di Windows. Gli step da seguire sono i seguenti:

  1. aprire Administrative Tools -> Event Viewer;
  2. andare alla voce Windows Logs e selezionare System;
  3. filtrare gli eventi in base al codice ID 6006, che indica lo shutdown della macchina. In realtà l’evento indica la chiusura del servizio “event log”, un servizio che viene chiuso poco prima dello shutdown del sistema;
  4. filtrare invece gli eventi secondo il codice ID 6005 per sapere quando il sistema si è avviato (avvio del servizio “event log”).

Event log

roghan

Aggiungere eseguibili alla variabile d’ambiente PATH in Windows

In Windows può essere utile richiamare dal command prompt (cmd) un eseguibile direttamente con il nome del file, anziché dover specificare il nome assoluto della directory. Ad esempio il programma nmap (nella versione attuale 6.25) non viene installato all’interno del sistema e pertanto è necessario scompattare la sua directory in qualche posizione come la seguente: […]

In Windows può essere utile richiamare dal command prompt (cmd) un eseguibile direttamente con il nome del file, anziché dover specificare il nome assoluto della directory. Ad esempio il programma nmap (nella versione attuale 6.25) non viene installato all’interno del sistema e pertanto è necessario scompattare la sua directory in qualche posizione come la seguente:

C:\Program Files\nmap-6.25

In questo caso il software può essere richiamato dalla console solamente posizionandosi all’interno della directory e digitando nmap.exe in questo modo

cmd_nmap

Se vogliamo invece eseguire il software da qualunque posizione dobbiamo modificare le variabili d’ambiente:

set PATH=C:\dir;%PATH%

ricordando però che questa modifica è temporanea e valida solo per quel command prompt (sessione).

Per rendere effettiva la modifica dobbiamo andare in Computer->Properties->Advanced->Environment Variables e aggiungere la voce come in figura sotto.

set_exe_in_path

roghan

[Articolo] Il comando netstat in Windows: come interpretare le connessioni

Analizziamo oggi il comando netstat, uno dei principali comandi per fare troubleshooting delle reti in ambiente Windows e per controllare quali connessioni sono stabilite.

Vediamo i 5 casi di utilizzo più importanti e da tenere sott’occhio. […]

Difficoltà articolo (0->10): 6

Analizziamo oggi il comando netstat, uno dei principali comandi per fare troubleshooting delle reti in ambiente Windows e per controllare quali connessioni sono stabilite.

Vediamo i 5 casi di utilizzo più importanti e da tenere sott’occhio.

1 – Lista connessioni e porte in ascolto: netstat -an

Questo è il caso più semplice di utilizzo del comando che elenca tutte le connessioni comprese quelle attive (stato ESTABLISHED), e quelle con una porta in ascolto (stato LISTENING). L’opzione n non è essenziale, ma è secondo me utile perché effettua un DNS lookup andando a mostrare indirizzo IP al posto di ogni hostname. I possibili stati in cui una connessione può trovarsi sono quelli mostrati nella tabella seguente.

Stato Descrizione
CLOSED Indica che il server ha ricevuto dal client un messaggio ACK e la connessione è chiusa.
CLOSE_WAIT Indica che il server ha ricevuto dal client il primo FIN e la connessione è in fase di chiusura.
ESTABLISHED Indica che il server ha ricevuto dal client un SYN e la sessione è stata stabilita.
FIN_WAIT_1 Indica che la connessione è ancora attiva ma al momento non è usata e verrà chiusa.
FIN_WAIT_2 Indica che il client ha ricevuto l’ACK del server, dopo che il server ha ricevuto il primo FIN dal client.
LAST_ACK Indica che il server sta per inviare il proprio messaggio FYN.
LISTENING Indica che il server è in ascolto e pronto ad accettare una nuova connessione.
SYN_RECEIVED Indica che il server ha ricevuto il SYN inviato dal client.
SYN_SEND Indica che la connessione è attiva.
TIME_WAIT Indica che la connessione è in fase di chiusura, ma è ancora attiva.
screen_netstat1
netstat -an

Tutti zero nella colonna “Foreign” significa che ancora non ci sono indirizzi remoti, e pertanto la linea rappresenta un servizio in ascolto. Nel momento in cui un servizio riceve una connessione in ingresso, allora verrà stabilita una nuova connessione e dunque verrà mostrata una linea specifica all’interno della lista di connessioni.

Su questo sito si trova un’ottima spiegazione degli stadi e delle transizioni nel protocollo TCP, e il diagramma mostrato è veramente ben fatto:

TCP-StateTransitionDiagram-NormalTransitions

2 – Fully qualified domain name: netstat -f

Con questo parametro il comando mostra il nome intero (FQDN) di ogni indirizzo IP, risolvendolo internamente o se possibile esternamente.

netstat -f
netstat -f

3 – Tabella di routing: netstat -r

L’opzione permette di mostrare la tabella di routing del sistema, ed è l’analogo del comando route print.

netstat -r
netstat -r

4 – Processo per ogni porta: netstat -aon oppure nestat -b

In questo modo per ogni porta aperta nel sistema vengono elencati lo stato e l’identificativo del processo (PID) che ha aperto la porta. L’opzione b è migliore perché mostra direttamente l’eseguibile del processo in esecuzione ma richiede i permessi di amministratore per poter essere eseguita.

netstat -aon
netstat -aon

5 – Statistiche di rete: netstat -s -p IP

Mostra le statistiche di rete relative al livello 3, ossia IP. E’ possibile in questo modo vedere eventuali errori o problemi di connessione.

netstat -s -p IP
netstat -s -p IP

Sono utili anche la possibilità di mantenere la lista aggiornata ad un certo intervallo (ad esempio ogni 5 secondi):

nestat -an 5

e quella di salvare l’output del comando in un file:

netstat -an >> C:\connections_list.txt

roghan