Assistência para entender a saída de “netstat -b”

0

Estou usando o Windows 7 de 64 bits e executei netstat -b e enviei os dados para um arquivo de texto. Suas são 4 colunas “Proto”, “Endereço Local”, “Endereço Exterior” e “Estado. O “Foreign Address” indica o nome do meu computador e um número de porta. Seus são pelo menos 9 outros como este, apenas uma porta diferente no endereço local e no endereço externo.

Por exemplo:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

O que isso significa? Eu deveria estar preocupado?

    
por JakeGould 13.03.2015 / 16:49

2 respostas

0

Nota: Esta resposta é para além da resposta de JakeGould. Ele está bem certo; Também estou respondendo porque senti que tenho mais alguns detalhes para adicionar. Deixei essa resposta falar com a porta TCP 2559.

Como sua conexão é com 127.0.0.1, isso significa que um programa no seu PC está se comunicando com um programa (provavelmente um segundo programa) no seu PC.

Para conexões ativas, é provável que você tenha uma entrada correspondente. Então, além de: Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED você também pode ter: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

Isso pode ser menos provável para o status TIME_WAIT. Acho que eu procuraria se estivesse procurando reunir mais informações como parte do processo de solução de problemas.

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT você também pode ter: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

Eu também me livraria dos nomes dos sistemas. Eu normalmente uso netstat -nab (nas versões modernas do Microsoft Windows) porque é mais rápido e mais claro. Sem o n após o hífen, o netstat executa uma pesquisa reversa de nomes, e é por isso que o 127.0.0.1 se parece com o Someuser-PC. É mais lento e menos claro, porque os pacotes IP reais realmente usam o endereço IP numérico, não os nomes dos textos. (Se eu quiser saber o nome do 127.0.0.1, eu posso fazer uma pesquisa de nome reversa manualmente, eu mesmo.) Se houvesse um invasor mal-intencionado, eu não desejaria que uma pesquisa direta do GoodGuy apontasse para 192.0.2.10, e em seguida, uma pesquisa inversa de 198.51.100.50 para resolver para GoodGuy e, em seguida, eu manualmente procurar GoodGuy e iniciar incorretamente culpando 192.0.2.10 quando o endereço que realmente está me atacando é 198.51.100.50. Evito essa falácia, mantendo os números, o que é mais rápido de qualquer maneira.

Talvez seja necessário executá-lo como administrador para obter o melhor nome de processo disponível. (Eu não me refiro apenas a uma conta no grupo Administradores; se você tiver UAC, você pode precisar de um prompt de administrador para obter as restrições do UAC).

A porta 54735 é provavelmente a conexão de saída, já que está no intervalo de portas efêmeras da IANA. Basicamente, isso significa que os números são reservados / destinados a conexões de saída. (O intervalo é personalizável, então estou baseando este comentário em padrões. O termo "efêmero" é um termo padrão que pode ser usado para procurar mais detalhes.)

Geralmente, por questões de segurança, as conexões TCP são preocupantes se forem ESTABELECIDAS ou ESCUTANDO (porque a LISTENÇÃO pode se transformar em uma conexão ESTABLISHED). TIME_WAIT deve desaparecer sozinho após um período de tempo; Eu não me preocuparia com isso, a menos que você tenha muito. (Às vezes, os servidores da Web geram muitas conexões TIME_WAIT porque estão criando muitas conexões e não fechando-as adequadamente. Como, dezenas ou centenas, acredito.) De improviso, acredito que esse status indica algo como uma conexão que desistiu de se comunicar. e está aguardando que o terminal remoto reconheça que a conexão está fechada. Pode ser que o netstat não esteja mostrando um programa relacionado porque o programa considera que a conexão está fechada e parou de prestar atenção na conexão.

Em relação à sua pergunta sobre estar ou não preocupado, minha resposta em poucas palavras é: não. Significa simplesmente que parte do seu computador está falando com outra parte do seu computador. Se um programa em 127.0.0.1 está causando problemas, seu problema é que um programa malicioso está instalado no seu computador. Isso pode ser um motivo de preocupação. No entanto, o fato de um programa estar se comunicando de e para 127.0.0.1 normalmente não é motivo de preocupação, porque essas conexões geralmente não adicionam nenhum problema de segurança adicional. Essas conexões de rede são um comportamento bastante normal. Portanto, suas 9 conexões TIME_WAIT de / para 127.0.0.1 não são uma preocupação.

    
por 13.03.2015 / 19:18
0

Primeiro, netstat é uma ferramenta muito simples. Ele simplesmente imprime informações sobre conexões de rede, tabelas de roteamento, estatísticas de interface, conexões de mascaramento e associações multicast. Basicamente, apenas informações gerais da rede. Então você diz isso:

What does this mean? Should I be concerned?

Bem, literalmente, isso é o que estou lendo:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Literalmente, significa apenas que sua máquina local no endereço IP de 127.0.0.1 usando a porta 2559 está fazendo uma conexão TCP com uma máquina remota chamada Someuser-PC na porta 54735 e o estado é TIME_WAIT o que basicamente significa que a conexão agora está fechada, mas a conexão está sendo mantida viva em sua máquina apenas no caso de existirem pacotes perdidos / dispersos esperando / precisando dessa conexão.

Agora por que essa conexão foi feita em algum momento? Não claro. O porto de endereço local de 2559 parece estar conectado ao Projeto do Terminal Server Linux (LSTP) , que é descrito como:

The Linux Terminal Server Project adds thin client support to Linux servers. LTSP is a flexible, cost effective solution that is empowering schools, businesses, and organizations all over the world to easily install and deploy thin clients.

A porta de endereço externa de 54735 está na faixa alta de portas normalmente consideradas “Dinâmico” ou “privado”, mas basicamente significa “Não há aplicativos padrão que reservam / reivindicam essa porta de uma maneira conhecida, portanto, essas portas são usadas para conexões específicas de aplicativos / aleatórias / idiossincráticas.”

Eu não tenho uma experiência profunda com o LSTP, nem sei - ou entendo - os detalhes da sua configuração, mas, superficialmente, isso parece ser uma conexão válida e legítima. Muitos protocolos usam uma porta conhecida para o cliente e, em seguida, uma porta "privada" aleatória no servidor de destino. Então isso superficialmente parece um comportamento normal para mim. Mesmo se houver dezenas de entradas sendo mostradas por netstat , honestamente, em um PC com qualquer sistema operacional, executar um comando netstat basicamente sem esse tipo de filtro - sem filtragem - apenas despejará pilhas de entradas na tela; o tráfego de rede pode ser barulhento em um bom dia e em um sistema limpo.

Agora, se você está dizendo que Someuser-PC é seu PC local e que há conexões com ele a partir de seu loopback localhost em 127.0.0.1 , tudo isso pode estar conectado ao modo como alguns aplicativos em sua máquina local estão funcionando. Isso significa que você sabe que está executando algum software que faz emulação de terminal LSTP leve e que o código principal usa pacotes TCP para se comunicar com o aplicativo "servidor" pai.

Mas, honestamente, com as informações mínimas que sua pergunta fornece, é difícil dizer o contrário, seja isso bom ou ruim. Meu instinto me diz que você só tem algum software instalado em seu PC que é simplesmente - e não maliciosamente - usando emulação de terminal LSTP para fazer o trabalho. Nada mais e nada menos.

    
por 13.03.2015 / 17:04