Como saber a porta efêmera de um serviço?

Quanto a portas efêmeras:

The Internet Assigned Numbers Authority (IANA) suggests the range 49152 to 65535 (2¹⁵+2¹⁴ to 2¹⁶−1) for dynamic or private ports. Many Linux kernels use the port range 32768 to 61000

Olhando o destino na tupla TCP / IP, como no exemplo que você pergunta:

udp        0      0 192.168.1.25:41136      61.216.153.106:123

Você pode ver que é a máquina atual usando um serviço NTP UDP / 123 em um servidor remoto.

Ou então, é a sua máquina fazendo uma solicitação NTP para um servidor NTP na China.

Na verdade, todas essas 4 linhas são conexões para servidores NTP na China.

Normalmente, com a maioria dos protocolos, quando o serviço de porta conhecido está do seu lado (primeiro), você normalmente é o servidor que recebe a conexão e a porta efêmera está no lado direito; quando é o contrário, muitas vezes é o seu servidor que está usando um serviço remoto.

(O seu servidor na China? Se não, eu me preocuparia com um possível malware)

Você também pode retirar o -n , para resolver endereços IP / nomes de serviço e DNS, mas esteja ciente de que ele apresenta um atraso notável em uma máquina / servidor com muitas conexões (e / ou com um serviço DNS lento) . Para ter uma idéia da diferença, adaptei sua saída netstat original para uma saída possível sem -n :

$netstat -a | grep ESTABLISHED
udp        0      0 mylinux:41136      vns1.hinet.net:ntp        ESTABLISHED
udp        0      0 mylinux:59141      DNS1.SYNET.EDU.CN:ntp     ESTABLISHED
udp        0      0 mylinux:53680      rdns1.alidns.com:ntp      ESTABLISHED
udp        0      0 mylinux:34255      ns1.htudns.com:ntp        ESTABLISHED

Você pode usar netstat -p para obter o pid e o nome do programa que abriu a porta no lado local; isso pode ser combinado com -a e -n como de costume.

Na maioria dos sistemas, você precisa de privilégios de root para fazer isso.

Como você pode ver na saída netstat ( net trabalho stat istics),

Proto Recv-Q Send-Q Local Address           Foreign Address         State   
udp        0      0 192.168.1.25:41136      61.216.153.106:123      ESTABLISHED

192.168.1.25 é o seu endereço IP local / de origem na LAN.

41136 é o número da porta de origem.

61.216.153.106 é o endereço IP de destino.

123 é o número da porta de destino que representa o Network Time Protocol (NTP)

O número da porta de origem ( 41136 ) serve para a porta de destino ( 123 ou NTP ), mas é usado pelo host remetente ( 192.168.1.25 ) para ajudar a controlar novas conexões de entrada e existentes fluxos de dados.

Geralmente, os clientes / endereço de origem ( 192.168.1.25 ) definem o número da porta de origem para um número único que eles mesmos escolhem - geralmente com base no programa que iniciou a conexão.

Nesse caso, o número da porta de origem escolhido pelo seu computador é 41136 .

Esse número é aleatório e normalmente maior que 1024.

Veja outro exemplo. Nesse caso, todas as portas de destino são UDP 123, que é NTP, enquanto o número da porta de origem é diferente e aleatório.

Proto Recv-Q Send-Q Local Address           Foreign Address         State   
udp        0      0 192.168.1.25:59141      202.112.29.82:123       ESTABLISHED
udp        0      0 192.168.1.25:53680      115.28.122.198:123      ESTABLISHED
udp        0      0 192.168.1.25:34255      42.51.22.35:123         ESTABLISHED