Entradas estranhas na saída do Netstat

1

Por curiosidade, corri Netstat no meu PC com Windows e encontrei algumas entradas estranhas como:

xx-fbcdn-shv-01-amt2:https
edge-star-mini-shv-01-frt3:https
mil04s03-in-f10:https
xx-fbcdn-shv-01-amt2:https
fra16s25-in-f14:https
lu7:http
40:https
mil04s04-in-f12:https
wb-in-f188:https
ec2-52-86-85-106:https
db5sch101101419:https
bam-6:https

O que são estes / como posso saber quais são?

    
por zacchi4k 21.03.2017 / 21:03

2 respostas

3

Você pode obter informações mais úteis do comando Netstat adicionando o -f e -b parâmetros, como este:

netstat -f -b

De acordo com a ajuda ( netstat -? ), a opção -f :

Displays Fully Qualified Domain Names (FQDN) for foreign addresses.

E a opção -b :

Displays the executable involved in creating each connection or listening port. In some cases well-known executables host multiple independent components, and in these cases the sequence of components involved in creating the connection or listening port is displayed. In this case the executable name is in [] at the bottom, on top is the component it called, and so forth until TCP/IP was reached. Note that this option can be time-consuming and will fail unless you have sufficient permissions.

Coloque os dois juntos e você verá quais processos estão criando cada conexão e o nome completo do host remoto.

Para ajudar a investigar os executáveis (e as conexões que eles estão fazendo), use o Explorador de Processos da Microsoft . Quando você executar o programa, será apresentada uma lista de tudo que está sendo executado no seu sistema, assim:

Emseguida,paraverasconexõesfeitasporumexecutável,cliqueduasvezesneleedêumaolhadanaguiaTCP/IP:

    
por 21.03.2017 / 21:46
0

Você observou que "ec2-52-86-85-106 acabou sendo 52.86.85.106, que é a Amazon, apesar de eu não estar conectado a ela." Uma pesquisa reversa de DNS no endereço IP retorna ec2-52-86-85-106.compute-1.amazonaws.com , ou seja, esse é o nome de domínio totalmente qualificado (FQDN) que será retornado, porque há um registro DNS PTR que associa esse FQDN com esse endereço IP. Mas você poderia ter acessado www.example.com em seu navegador da Web e o nome de domínio example.com poderia ter um registro de recurso DNS que associa esse FQDN ao endereço IP 52.86.85.106. O bloco de endereços 52.84.0.0 a 52.95.255.255 é atribuído à Amazon pelo Registro americano para números da Internet . A Amazon o utiliza para seus Amazon Web Services (AWS) .

Digamos que eu compre o nome de domínio example.com de um registro de nomes de domínio . Agora, quero hospedar meu website em www.example.com e decidir usar a AWS para hospedar meu site. Eu configuro servidores DNS para que meu nome de domínio aponte para o endereço IP que a AWS forneceu para mim para o servidor que hospeda meu site. Digamos que o endereço seja 52.86.85.106. Portanto, se você colocar www.example.com no seu navegador da Web, seu sistema se conectará a 52.86.85.106. Mas agora você emite um comando netstat no seu sistema. Você vê uma conexão para 52.86.85.106, se você usa netstat -an ou você vê ec2-52-86-85-106 se você omitir o argumento n para o comando. Por isso, pode não ser óbvio para você, a menos que você emita um comando nslookup em www.example.com, que a conexão do seu navegador para o meu site é porque você vê ec2-52-86-85-106 nos resultados do comando netstat que você emitiu.

Com relação ao nome do domínio 1e100.net mencionado em outro comentário, como você descobriu, o domínio 1e100.net pertence ao Google. 1e100 é uma notação científica para 1 googol , ou seja, 1 elevado à potência de 100, que é 1 seguido por cem zeros. O Google usa o nome de domínio para seus servidores. Se você acessou recentemente uma conta do Gmail ou realizou uma pesquisa usando o google.com com um navegador no sistema, é possível ver esse nome de domínio retornado em seus resultados.

Outra opção de comando netstat é -o , que mostrará o ID do processo (PID) do processo que estabeleceu a conexão. Você pode então usar o Gerenciador de Tarefas do Windows para vincular o PID a um aplicativo que você está executando, por exemplo, Chrome, Firefox, Microsoft Edge, etc., por clicando na guia detalhes no Gerenciador de Tarefas para ver o PID .

    
por 22.03.2017 / 03:26