Network-Defense on u-random

Cap 07 - Protecting Against Advanced Attacks

Tue, 09 Jun 2026 00:00:00 +0000

Attacchi di rete avanzati (SYN flood, DNS attacks, on-path, replay) e secure coding: input validation, injection, memory vulnerabilities, XSS, code signing, scripting sicuro. Cap 7 Gibson SY0-701.

Cisco Packet Tracer: La Rete che Protegge Se Stessa

Mon, 08 Jun 2026 00:00:00 +0000

TL;DR

Una DMZ e' una zona di mezzo: esposta verso internet, isolata dalla LAN
Due firewall significa che anche se Sofia/nginx viene compromessa, Giulia/MySQL e' ancora protetta da FW2
Su ASA il traffico da security-level basso verso alto e' bloccato per default - non serve scrivere nessuna regola di blocco

▶ $ history

nameif - assegna nome logico all'interfaccia ASA (outside, dmz, inside)
security-level - livello di fiducia: 0=esterno, 50=DMZ, 100=LAN
route outside 0.0.0.0 0.0.0.0 x.x.x.x - default route su ASA
show nameif - interfacce ASA con security level

Perche' questo lab
#

corsobitcoin.com e' una piattaforma di corsi online. Ha iscritti, sessioni, video, dati di pagamento.

Cisco Packet Tracer: Cinque Router, Una Catena, Nessun GPS

Sun, 07 Jun 2026 00:00:00 +0000

TL;DR

Un router conosce solo le reti a cui e' direttamente collegato. Tutto il resto va detto esplicitamente con rotte statiche
Ogni router ha piu' IP - uno per ogni interfaccia. "Marco e' 10.0.0.2" e' incompleto: Marco e' anche 10.10.10.1
Le rotte statiche funzionano come indicazioni stradali: "se vuoi andare la', chiedi a lui"
Se manca una rotta il pacchetto si ferma - il TTL serve esattamente per questo

▶ $ history

ip route [rete] [maschera] [next-hop] - aggiunta rotta statica
show ip route - tabella di routing corrente
ping [ip] - test connettivita' end-to-end

Prima di toccare Linux voglio vedere il routing con gli occhi. In Linux i namespace sono invisibili - sono processi, non oggetti fisici. In Cisco Packet Tracer posso vedere i router come scatole, i cavi come linee, e guardare i pacchetti muoversi.

iptables - Linux Packet Filtering

Thu, 04 Jun 2026 00:00:00 +0000

Firewall nativo del kernel Linux. Gestisce il traffico di rete tramite chain (INPUT, OUTPUT, FORWARD) e tabelle (filter, nat, mangle). UFW e nftables sono frontend/successori.

ESP cifra, AH no: IPsec visto dal vivo

Sat, 30 May 2026 00:00:00 +0000

TL;DR

IPsec Suite: Una suite di protocolli di rete sicuri (IKE + ESP + AH) implementata a livello IP per garantire autenticazione, integrità e riservatezza.
IKE (Internet Key Exchange): Negozia gli algoritmi di sicurezza e stabilisce le Security Association (SA) scambiando chiavi tramite Diffie-Hellman (UDP 500/4500).
ESP (Encapsulating Security Payload): Cifra il payload dei pacchetti (ad es. con AES-256) garantendo riservatezza ed autenticazione. Supporta il NAT tramite incapsulamento NAT-T.
AH (Authentication Header): Firma crittograficamente i pacchetti per garantirne l'integrità, ma non cifra il payload, lasciando i dati in chiaro ed esposti allo sniffing.
Tunnel vs Transport: Tunnel mode cifra l'intero pacchetto originale aggiungendo un nuovo header IP (ideale per VPN Site-to-Site); Transport mode cifra solo il payload (ideale per host-to-host).

▶ $ history

apt install strongswan -y
ipsec version
ipsec restart
ipsec up mustache
ipsec statusall
tcpdump -i enp0s1 udp port 500
tcpdump -i enp0s1 proto 50
tcpdump -i enp0s1 proto 51 -v
ping 192.168.64.3

Configurare IPsec host-to-host con StrongSwan e vedere con tcpdump la differenza tra ESP e AH. ESP cifra il payload - AH no. Questa distinzione è una domanda classica Security+ e fondamentale per la sicurezza di rete.

Il Tunnel che Sceglie: Split vs Full VPN con WireGuard

Sat, 30 May 2026 00:00:00 +0000

TL;DR

WireGuard: VPN moderna basata su Curve25519 e ChaCha20, integrata direttamente nel kernel Linux come interfaccia di rete virtuale (wg0).
VPN Concentrator: Il dispositivo (in questo lab Ubuntu) che termina il tunnel cifrato, decifra il traffico e lo instrada verso la rete interna.
Split Tunnel (AllowedIPs = 10.0.0.0/24): Solo il traffico destinato alla subnet della VPN passa nel tunnel; il traffico internet esce in chiaro tramite il gateway locale.
Full Tunnel (AllowedIPs = 0.0.0.0/0): Tutto il traffico, incluso quello internet, viene convogliato nel tunnel cifrato e richiede IP forwarding e MASQUERADE sul concentratore.
Visibilità di rete: tcpdump/tshark mostrano solo pacchetti UDP cifrati sull'interfaccia fisica (enp0s1), mentre svelano il traffico ICMP/IP decifrato su quella virtuale (wg0).

▶ $ history

apt install wireguard -y
wg genkey | tee privatekey | wg pubkey > publickey
wg-quick up wg0
wg-quick down wg0
ip route show
traceroute 8.8.8.8
tcpdump -i wg0
tcpdump -i enp0s1 udp port 51820
tshark -r capture.pcap

Configurare un tunnel WireGuard tra due VM e vedere con i propri occhi la differenza tra split tunnel e full tunnel. Non teoria - routing table e traceroute che lo dimostrano empiricamente.

Il Kernel Sospende il Giudizio

Fri, 29 May 2026 00:00:00 +0000

TL;DR

IDS (af-packet): copia del traffico → Suricata vede tutto, non può bloccare niente → [**] in fast.log
IPS (nfqueue): traffico originale trattenuto → il kernel aspetta il verdetto → [Drop] in fast.log
iptables -I INPUT -j NFQUEUE --queue-num 0 è la singola regola che trasforma il sistema
fail-open: no = fail-closed: se Suricata muore, tutto il traffico viene droppato
Il Docker bridge (br-XXXX) bypassa NFQUEUE - la SYN-ACK di ritorno viene bloccata e Wazuh si disconnette
La persistenza al reboot richiede un systemd service dedicato (non iptables-persistent, che rimuove UFW)

▶ $ history

suricata -T -c /etc/suricata/suricata.yaml -v
suricata-update
iptables -I INPUT 1 -j NFQUEUE --queue-num 0
iptables -L INPUT -n -v --line-numbers
nmap --min-rate 1000 -p 1-1000 192.168.64.3
hping3 -S --flood 192.168.64.3
cat /proc/net/tcp

Voglio vedere cosa succede quando Suricata non si limita a guardare il traffico, ma lo blocca davvero.

816 tentativi zero successi

Wed, 27 May 2026 00:00:00 +0000

TL;DR

HIDS (Wazuh agent) monitora il singolo host dall'interno - log, file, processi.
SIEM (Wazuh manager) raccoglie tutto, correla, genera alert.
HIPS (fail2ban) agisce automaticamente dopo la detection - blocca l'IP attaccante.
IDS e IPS non sono prodotti diversi: è la stessa categoria, con o senza capacità di blocco.

▶ $ history

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.64.3 -t 4
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

Il lab è semplice: Ubuntu con Wazuh, Kali con Hydra, una wordlist da 14 milioni di password. Obiettivo: vedere cosa succede dall'altra parte quando un attaccante tenta il brute force SSH.

IDS e IPS - detection e prevention, host e rete

Wed, 27 May 2026 00:00:00 +0000

IDS rileva, IPS blocca. HIDS/HIPS agiscono sull'host, NIDS/NIPS sulla rete. La differenza inline/non-inline determina quando il blocco avviene.

Cap 4 - Securing Your Network

Mon, 25 May 2026 00:00:00 +0000

IDS/IPS, VPN (IPsec/SSL), tunneling, wireless security (WPA2/WPA3), network segmentation avanzata. Cap 4 Gibson SY0-701.

Il Campo che Parlava Troppo

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SQL Injection avviene quando l'input utente viene concatenato direttamente nella query - il DB esegue codice che non dovrebbe
Un apostrofo nel campo username è spesso sufficiente per rilevare la vulnerabilità
La difesa corretta è la parameterized query - non l'input validation da sola
Il WAF può rallentare l'attacco ma non sostituisce il fix nel codice

▶ $ history

curl -s -X POST url -d "username=test&password=test"
tshark -r capture.pcap -Y "http.request.method == POST"

Mi hanno dato tre ore e un URL. Un'applicazione web interna - gestionale ordini, usato dal reparto commerciale. "Testala. Dimmi cosa non va."

Il CEO Non Ha Scritto Quella Email

Tue, 19 May 2026 00:00:00 +0000

TL;DR

BEC (Business Email Compromise) non richiede malware - basta falsificare il campo From: in SMTP
SPF, DKIM e DMARC sono i tre record DNS che rendono verificabile l'identità del mittente
Un dominio senza questi tre record è impersonabile in cinque minuti da chiunque
Leggere gli header Received: di un'email dal basso verso l'alto rivela il percorso reale del messaggio

▶ $ history

dig TXT dominio.com
dig TXT _dmarc.dominio.com

Arianna gestisce i pagamenti. Quella mattina ha ricevuto un'email dal CEO: cambio fornitore urgente, nuovo IBAN, bonifico entro fine giornata. 47.000 euro. Il tono era quello di sempre - formale, diretto, niente spiegazioni superflue.

Il Fantasma nella Rete

Tue, 19 May 2026 00:00:00 +0000

TL;DR

Un honeypot è un sistema esca - qualsiasi connessione ricevuta è per definizione sospetta
La ricognizione interna (lateral movement iniziale) lascia tracce nei log prima che l'attaccante agisca
Analizzare chi ha contattato il honeypot rivela quali host sono compromessi o controllati da un attaccante
IDS/IPS signature-based non rileva zero-day - il comportamento anomalo verso risorse inesistenti lo fa

▶ $ history

tshark -r capture.pcap -Y "ip.dst == 192.168.10.99" -T fields -e ip.src -e tcp.dstport
dig -x 192.168.10.99

Sono le 14:33. Il SIEM ha flaggato una connessione TCP verso 192.168.10.99. Il problema: a quell'IP non c'è nessun server. Non c'è nessun servizio. Non c'è nessun device registrato nell'inventario.

Il Postino Lavora di Notte

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SMTP consegna le email, IMAP/POP3 le recuperano - protocolli separati con porte e ruoli distinti
Una workstation che apre connessioni dirette sulla porta 25 è anomala: quel traffico spetta al mail server aziendale
base64 negli allegati non è cifratura: su SMTP senza TLS, qualsiasi allegato è estraibile dal pcap in chiaro
SPF, DKIM e DMARC sono i tre record DNS che distinguono un dominio difeso da uno esposto allo spoofing

▶ $ history

tshark -r capture.pcap -Y "smtp" -T fields -e ip.src -e ip.dst -e smtp.req.command -e smtp.req.parameter
dig MX dominio.com
dig TXT _dmarc.dominio.com

Cap 3 - Network Technologies and Security Architecture

Mon, 18 May 2026 00:00:00 +0000

OSI model, protocolli base (TCP/UDP/IP/ICMP/ARP/DNS/DHCP/NTP), protocolli sicuri vs insicuri, SSL/TLS, firewall (stateless/stateful/WAF/NGFW), screened subnet, Zero Trust, proxy, NAT, VLAN, NAC, UTM, SASE, Group Policy, GDLP, SPF/DKIM/DMARC. Cap 3 Gibson SY0-701.

Well-Known Ports - Security+

Mon, 18 May 2026 00:00:00 +0000

Porte da sapere a memoria per Security+ SY0-701. Organizzate per categoria: file transfer, remote access, email, web, directory, network services, database, VPN/IPSec.

Well-Known Ports - Security+

Mon, 18 May 2026 00:00:00 +0000

Porte da sapere a memoria per Security+ SY0-701. Organizzate per categoria: file transfer, remote access, email, web, directory, network services, database, VPN/IPSec.

Frame, Pacchetto, Segmento - OSI e Stream

Thu, 07 May 2026 00:00:00 +0000

Differenza tra frame (L2), pacchetto IP (L3) e segmento TCP (L4). Matrioska OSI, NIC, stream indipendenti per livello. Base per leggere correttamente tshark e Wireshark.

iptables - Netfilter firewall Linux

Sun, 03 May 2026 00:00:00 +0000

Motore firewall del kernel Linux basato su Netfilter. Organizza le regole in chain (INPUT, OUTPUT, FORWARD). UFW è un frontend che traduce comandi semplici in regole iptables.

ufw - Uncomplicated Firewall

Sun, 03 May 2026 00:00:00 +0000

Frontend semplificato per iptables su Ubuntu/Debian. Gestisce regole firewall in entrata e uscita con comandi leggibili. Default policy: nega tutto il traffico in entrata quando abilitato.

whois

Sun, 03 May 2026 00:00:00 +0000

Interroga i database WHOIS per ottenere informazioni su un IP o dominio: ASN, organizzazione, paese, range di indirizzi, abuse contact.

DNS e HTTP in una LAN con switch

Fri, 01 May 2026 00:00:00 +0000

Come funziona la risoluzione DNS e la richiesta HTTP in una LAN flat con switch, senza router né gateway.

Routing statico e topologia LAN-internet

Fri, 01 May 2026 00:00:00 +0000

Come configurare il routing statico su router Cisco per connettere una LAN privata a una rete pubblica simulata, con DNS e HTTP server esterni.

DNS Tunneling

Wed, 29 Apr 2026 00:00:00 +0000

Tecnica C2 che usa il protocollo DNS per trasportare comandi e dati esfiltrati, bypassando i firewall perche' UDP 53 e' quasi sempre permesso.

RJ-45 e Cavi Ethernet - Pinout, Dritti e Incrociati

Wed, 29 Apr 2026 00:00:00 +0000

Il connettore RJ-45 ha 8 pin con ruoli TX/RX distinti. I cavi dritti collegano dispositivi diversi, i cavi incrociati collegano dispositivi uguali. Il segnale elettrico codifica i bit tramite variazioni di tensione.

IP Addressing & Subnetting

Tue, 28 Apr 2026 00:00:00 +0000

L'indirizzamento IP definisce l'identità di una macchina in rete (IP) e il confine del suo quartiere (Subnet Mask). RFC1918, broadcast, segmentazione Blue Team.

IP Subnetting - Matematica e Routing

Tue, 28 Apr 2026 00:00:00 +0000

Matematica del subnetting: formula host 2^n-2, calcolo binario, conversione CIDR/mask, /32, routing table e flusso pacchetto attraverso router.

Command Injection

Sun, 26 Apr 2026 00:00:00 +0000

Vulnerabilità A03 OWASP: input utente viene passato a una shell di sistema senza sanitizzazione. Permette esecuzione arbitraria di comandi sul server.

netcat

Sun, 26 Apr 2026 00:00:00 +0000

Utility versatile per leggere e scrivere dati attraverso connessioni di rete TCP e UDP. Usato per banner grabbing, port scan, trasferimento file, e come listener per reverse shell.

Reverse Shell

Sun, 26 Apr 2026 00:00:00 +0000

Tecnica di accesso remoto dove la vittima si connette verso l'attaccante. Bypassa i firewall in ingresso. Rilevabile con auditd, Suricata o regole Wazuh custom.

BGP e Autonomous Systems (AS) - Il GPS di Internet

Wed, 22 Apr 2026 00:00:00 +0000

Guida completa al routing globale: gerarchia delle reti, analogia delle Città-Stato, differenze tra IGP/eBGP/iBGP e analisi del BGP Hijacking.

Le Autostrade di Internet

Wed, 22 Apr 2026 00:00:00 +0000

TL;DR

Internet non è una singola rete: è un insieme di reti indipendenti (Autonomous Systems) collegate da BGP
BGP decide il percorso tra AS diversi - IGP gestisce il routing interno, iBGP sincronizza i border router
Un attaccante può annunciare rotte false (BGP Hijacking) e dirottare traffico globale
Ogni IP appartiene a un ASN: saperlo leggere è un'abilità base di triage SOC

▶ $ history

whois [IP]
whois [IP] | grep -i "origin|asn|orgname"

TCP Reliability e Modello OSI - La Guida Semplificata

Wed, 22 Apr 2026 00:00:00 +0000

Spiegazione del meccanismo di conferma (ACK) del TCP e mappatura semplificata degli strati OSI (Layer 2, 3, 4) per l'analisi dei log.

HTTP in Wireshark - TCP Segmentation e Packet Analysis

Fri, 17 Apr 2026 00:00:00 +0000

Come appare una sessione HTTP in Wireshark: TCP segmentation, MSS, Nagle's algorithm, gzip. Prospettiva packet analysis.

SMTP - Simple Mail Transfer Protocol

Fri, 17 Apr 2026 00:00:00 +0000

SMTP trasporta le email tra server. Architettura MUA/MTA, porte, flusso di consegna, email spoofing e meccanismi difensivi SPF/DKIM/DMARC.

DHCP - Dynamic Host Configuration Protocol

Thu, 16 Apr 2026 00:00:00 +0000

Protocollo che assegna automaticamente configurazione di rete ai dispositivi che si connettono - IP address, subnet mask, gateway, DNS. Senza DHCP ogni dispositivo dovrebbe essere configurato manualmente.

OWASP Top 10

Thu, 16 Apr 2026 00:00:00 +0000

Framework di classificazione delle 10 vulnerabilità web più critiche. Usato dai SOC analyst per categorizzare gli attacchi nei log e nei report.

Unicast, Broadcast, Multicast

Thu, 16 Apr 2026 00:00:00 +0000

I tre modi in cui un pacchetto può essere indirizzato in rete: a uno solo (unicast), a tutti (broadcast), a un gruppo (multicast).

IPv6 - Internet Protocol Version 6

Fri, 10 Apr 2026 00:00:00 +0000

Successore di IPv4 a 128 bit. Elimina la scarsità di indirizzi, rimuove il broadcast, introduce multicast nativo, header fisso a 40 byte. Adozione globale ~45-49% (2026). Richiede firewall esplicito - niente NAT implicito.

MTU - Maximum Transmission Unit

Fri, 10 Apr 2026 00:00:00 +0000

Maximum Transmission Unit - la dimensione massima in byte del payload di un frame su un link fisico. Opera a Layer 2. Determina se un pacchetto IP deve essere frammentato o se il mittente deve ridurre la dimensione dei dati.

NDP - Neighbor Discovery Protocol

Fri, 10 Apr 2026 00:00:00 +0000

Protocollo IPv6 che sostituisce ARP. Usa ICMPv6 e multicast invece di broadcast per trovare il MAC address di un host nella stessa LAN. Neighbor Solicitation (type 135) chiede, Neighbor Advertisement (type 136) risponde.

SQL Injection (SQLi)

Fri, 10 Apr 2026 00:00:00 +0000

Vulnerabilità web che permette di manipolare le query database tramite input non sanificati, bypassando i controlli di sicurezza.

arpspoof - ARP cache poisoning tool

Thu, 09 Apr 2026 00:00:00 +0000

Tool per ARP poisoning — manda pacchetti ARP falsi in loop per avvelenare la cache ARP di un target. Usato per simulare attacchi MITM in laboratorio e capire come rilevarli.

Il Gateway Sono Io

Thu, 09 Apr 2026 00:00:00 +0000

TL;DR

ARP non ha autenticazione - chiunque può convincere una rete che il gateway è lui
Per fare un MITM silenzioso servono tre passi: IP forwarding, avvelenare entrambi i lati, disabilitare ICMP Redirect
La firma del MITM in Wireshark è inequivocabile: stesso pacchetto, stesso seq number, TTL decrementato di 1
ip route flush all su una macchina remota equivale a spegnerla - lezione imparata a caro prezzo

▶ $ history

arpspoof -i eth0 -t 192.168.64.3 192.168.64.1
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
ip neighbor show
tcpdump -i eth0 -n 'host 192.168.64.3 and icmp' -c 10

Sono le 21:00. Il lab è acceso da qualche ora. Ho appena finito di leggere come funziona il Gratuitous ARP - quella tecnica dove un dispositivo annuncia a tutta la rete "questo IP sono io", senza che nessuno lo abbia chiesto.

IP Header e IPv4

Thu, 09 Apr 2026 00:00:00 +0000

Struttura dell'header IPv4: campi principali, TTL, frammentazione, checksum. IPv4 opera a Layer 3 e si occupa del routing tra reti diverse. Diverso da MAC che opera solo nella LAN.

nmap - Network Mapper

Fri, 03 Apr 2026 00:00:00 +0000

Mappa la rete mandando pacchetti TCP/UDP/ICMP verso host e porte target e analizza le risposte. Da un singolo SYN capisce se una porta e' aperta, chiusa o filtrata. Strumento standard per asset discovery, port scanning e audit di sicurezza.

La Lettera che Cambia Busta

Thu, 02 Apr 2026 00:00:00 +0000

TL;DR

traceroute -n 8.8.8.8 mostra i 14 router tra te e Google - ogni riga è un salto (hop)
IP address = destinazione finale, non cambia mai; MAC address = tratto corrente, cambia ad ogni hop
Il router legge l'IP dentro (la lettera), riscrive il MAC fuori (la busta) e passa il pacchetto al prossimo salto
* * * non significa percorso interrotto - solo che quel router non risponde a ICMP/UDP; prova con -T (TCP)

▶ $ history

traceroute -n 8.8.8.8
traceroute -I -n 8.8.8.8
sudo traceroute -T google.com
ip neighbor show
ip route show

Sistema: Linux (testato su Kali 2024 e Ubuntu 24.04) Tools: traceroute, ip - già installati di default Conoscenze: nessuna - si parte da zero

Il Processo che Non Dorme Mai

Wed, 01 Apr 2026 00:00:00 +0000

TL;DR

Alert alle 2:47: processo bash con connessione aperta verso IP esterno su porta 4444 → reverse shell attiva
ss -tnp | grep ESTABLISHED identifica il processo e il PID in tempo reale
tcpdump -i eth0 -n -A legge il payload in chiaro: comandi dell'attaccante visibili direttamente
Prima di bloccare: raccogliere history, auth.log, find -mmin -120 - agire troppo presto distrugge le prove

▶ $ history

ss -tnp
tcpdump -i eth0 -n -A host 185.220.101.34
ip a
history
grep "185.220.101.34" /var/log/auth.log
find / -mmin -120 -type f 2>/dev/null
kill -9 [PID]
ufw deny from [IP]

Cosa succede davvero sulla rete mentre il tuo codice gira

Tue, 31 Mar 2026 00:00:00 +0000

TL;DR

Prima di ogni richiesta HTTP il kernel fa un handshake in 3 pacchetti: SYN → SYN+ACK → ACK
I flag TCP ([S], [S.], [.], [P.], [R], [F]) si leggono tutti in tcpdump in tempo reale
RST = chiusura brusca (porta chiusa, firewall, crash) - molti RST consecutivi sono segnale sospetto
I log applicativi non vedono un SYN scan - serve tcpdump a livello di rete

▶ $ history

tcpdump -i any -n 'host api.example.com'
tcpdump -i any -n 'tcp and port 443'
tcpdump 'tcp[tcpflags] & tcp-syn != 0'

Stai costruendo un'API. Il client manda una richiesta, il server risponde. Funziona. Ma cosa succede esattamente tra il momento in cui scrivi fetch("https://api.example.com/data") e quello in cui arriva la risposta?

dig - domain information groper

Mon, 30 Mar 2026 00:00:00 +0000

Invia query DNS a un nameserver e mostra la risposta completa. Strumento principale per diagnosticare DNS, verificare record, seguire la catena di risoluzione e rilevare anomalie.

TCP Handshake

Mon, 30 Mar 2026 00:00:00 +0000

Il TCP handshake e' la negoziazione obbligatoria che precede qualsiasi trasmissione dati via TCP. Tre pacchetti stabiliscono la connessione, uno la chiude. I flag nei pacchetti dicono tutto su cosa sta succedendo.

wget - web get

Fri, 27 Mar 2026 00:00:00 +0000

Scarica file da URL in modo non interattivo. A differenza di curl e' ottimizzato per il download — riprende automaticamente i download interrotti e puo' scaricare siti interi ricorsivamente.

scp - secure copy

Tue, 24 Mar 2026 00:00:00 +0000

Copia file tra host locale e remoto (o tra due host remoti) usando il protocollo SSH come trasporto. Stesso sistema di autenticazione e sicurezza di SSH, incluso il supporto a ~/.ssh/config.

Anatomia di una query DNS

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

Prima di mandare qualsiasi pacchetto in rete, il sistema cerca la risposta in cache - browser, OS, /etc/hosts
Se non trova niente, chiede al resolver ISP (es. 8.8.8.8) che fa il lavoro sporco
Il resolver risale la gerarchia: Root Server → TLD Server → Nameserver autoritativo
La risposta torna con un TTL - un timer che dice quanto tenerla in cache prima di richiederla

▶ $ history

nslookup example.com
nslookup -type=MX example.com
dig example.com
dig +trace example.com
dig -x 8.8.8.8

Ogni volta che scrivi un dominio nel browser e premi invio, parte una catena di eventi che la maggior parte delle persone non vede mai. Il risultato finale è un indirizzo IP - ma il percorso per arrivarci attraversa cache locali, server distribuiti in tutto il mondo e una gerarchia precisa.

curl - Client URL

Sun, 22 Mar 2026 00:00:00 +0000

Client HTTP da riga di comando. Manda richieste HTTP/HTTPS e mostra la risposta. Piu' versatile di wget per testare API, vedere header e debuggare servizi web.

Il lucchetto verde - cosa succede davvero in quei 250 millisecondi

Sun, 22 Mar 2026 00:00:00 +0000

TL;DR

Prima del TLS c'è TCP: tre pacchetti solo per aprire il canale
ClientHello è il nome reale del messaggio - lo vedi in Wireshark, è nell'RFC
Browser e server derivano la stessa chiave senza mai trasmettersela (Diffie-Hellman)
Ogni sessione usa chiavi nuove e le butta via - anche se qualcuno ruba la chiave del server tra un anno, il traffico di oggi resta illeggibile

▶ $ history

openssl s_client -connect google.com:443 -showcerts
openssl s_client -connect dominio.com:443 2>/dev/null | openssl x509 -noout -dates
openssl s_client -connect google.com:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep -E "Subject|Issuer|Not After"

Ogni volta che scrivi https:// nel browser e premi invio, sullo sfondo succede qualcosa che la maggior parte degli sviluppatori web dà per scontato. Il lucchetto verde appare, la connessione è "sicura", si va avanti.

HTTP in Detail

Tue, 17 Mar 2026 00:00:00 +0000

Protocollo HTTP: struttura URL, metodi, status code, header, cookie e sessioni. Prospettiva applicativa.

ARP - Address Resolution Protocol