A misteriosa porta aberta 554 tcp em todas as máquinas da minha rede!

2

Muito estranho, eu tenho 4 máquinas, algumas máquinas são reais hw (slack64 e slackware) um é um telefone android, e por último é a máquina virtual.

De slack64 a todas as máquinas ...

for i in oracle slackware android;do nmap -p554 -sT -P0 $i;done|grep open
554/tcp open  rtsp
554/tcp open  rtsp
554/tcp open  rtsp

Eu posso fazer telnet do slack64

telnet oracle  554
Trying 192.168.0.21...
Connected to oracle.
Escape character is '^]'.

Mas se eu fizer ssh para usinar..por exemplo oracle ..

netstat -na|grep 554

return..empty!

Mesma coisa com outras máquinas

Se eu fiz telnet oracle do oracle ..

telnet  oracle 554
Trying 192.168.0.21...
telnet: connect to address 192.168.0.21: Connection refused

Que diabos é isso? Eu investigo .. muito estranho.

    
por elbarna 13.02.2017 / 01:45

3 respostas

1
O utilitário

ss ajudará você a descobrir qual é o processo usando essa porta

hafw1:~# ss -tapn | grep ":22"
LISTEN     0      128            :::22                      :::*      users:(("sshd",9828,4))
LISTEN     0      128             *:22                       *:*      users:(("sshd",9828,3))
ESTAB      0      0  my_ip:59233        dest:22     users:(("ssh",1625,3))

Onde:

  • -t : somente TCP
  • -a : Exibe portas e soquetes
  • -p : processa informações
  • -n : não resolver nomes de portas

Agora, basta substituir o valor do grep por :554 e você poderá encontrar informações sobre seu processo misterioso. O que deve ajudá-lo a investigar melhor este assunto é executar watch em cada servidor que você está enfrentando esse problema de porta aberta e executar o nmap novamente:

watch -n 1  ss -tapn \| grep ":554"

Se você não vir uma porta aberta, talvez algumas pessoas estejam informando que essa porta está sendo aberta no Apple Time Capsule roteadores que tentam fazer proxy desse tráfego dentro de sua rede.

    
por 24.02.2017 / 13:46
4

Se a sua conexão de rede passar por um roteador, eu verificaria se o roteador tem a porta 554 aberta. Se tiver, provavelmente é fácil desmarcar uma caixa de seleção para "Real Time Streaming Protocol" (ou equivalente) nas configurações do roteador.

    
por 13.02.2017 / 09:19
2

Eu provavelmente estou bem aqui, mas vou postar assim mesmo.

Pesquisando a porta 554 em porto da IANA lista de atribuições mostra que TCP e UDP 554 são usados pelo "Real Time Streaming Protocol". Além disso, mostra um ponto de contato usando um endereço de email @ prognet.com.

O nome de domínio não carrega um site, mas uma pesquisa whois de prognet.com revela que é de propriedade da RealNetworks e seus servidores de nomes são vários registros de real.com.

Então eu realmente tive que ir ao real.com para lembrar o que era ... RealPlayer!

Eu estou supondo que o "Real Time Streaming Protocol" é algo que o RealPlayer usa. A mídia está transmitindo algo que acontece no seu ambiente? Se não, como eu disse, provavelmente estou longe e é outra coisa que apenas usa a porta 554.

    
por 13.02.2017 / 04:47