「netstat -b」の出力を理解するための支援

Question 1

注: この回答は、Giacomo1968 の回答に追加されるものです。彼の言う通りです。私も、追加すべき詳細があると感じたので回答します。その回答では、TCP ポート 2559 について説明しています。

接続が 127.0.0.1 であるため、PC 上のプログラムが PC 上のプログラム (おそらく 2 番目のプログラム) と通信していることを意味します。

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED アクティブな接続の場合、一致するエントリが存在する可能性があります。したがって、次のエントリに加えて、次のエントリが存在する可能性があります。Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

TIME_WAIT ステータスの場合、これは当てはまらない可能性があります。トラブルシューティングプロセスの一環として、さらに情報を収集しようとしている場合は、このステータスを探すことになると思います。


Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT

次のようなものもあるかもしれません:


Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

システム名も削除します。私は通常netstat -nab、(Microsoft Windows の最新バージョンでは) より高速でわかりやすいためこれを使用します。ハイフンの後の n がないと、netstat は逆名前検索を実行します。これが 127.0.0.1 が Someuser-PC のように見える理由です。実際の IP パケットは実際にはテキスト名ではなく数値 IP アドレスを使用するため、これはより遅く、わかりにくくなります。(127.0.0.1 の名前を知りたい場合は、自分で手動で逆名前検索を実行できます。) 悪意のある攻撃者がいた場合、GoodGuy の順方向検索で 192.0.2.10 が示され、次に 198.51.100.50 の逆方向検索で GoodGuy が解決され、その後手動で GoodGuy を検索して、実際に攻撃しているアドレスが 198.51.100.50 であるのに、誤って 192.0.2.10 のせいにし始めるのは望ましくありません。私は数字に固執することでその誤りを避けています。数字の方がとにかく速いです。

利用可能な最適なプロセス名を取得するには、これを管理者として実行する必要がある場合があります。(管理者グループのアカウントだけを意味するわけではありません。UAC を使用している場合は、UAC の制限を回避するために管理者プロンプトが必要になる場合があります。)

ポート 54735 は、IANA の一時ポート範囲内にあるため、おそらく送信接続です。基本的に、その番号は送信接続用に予約されているか、送信接続用に意図されていることを意味します。(範囲はカスタマイズ可能なので、このコメントはデフォルトに基づいています。「一時」ポートという用語は、詳細を調べるために使用できる標準用語です。)

一般的に、セキュリティ上の理由から、TCP 接続が ESTABLISHED または LISTENING の場合に問題となります (LISTENING は ESTABLISHED 接続に変わる可能性があるため)。TIME_WAIT は、一定時間が経過すると自然に消えます。接続数が多い場合を除いて、心配する必要はありません。(Web サーバーが多数の接続を作成し、適切に閉じていないために、多数の TIME_WAIT 接続を生成することがあります。数十または数百の接続が考えられます)。このステータスは、通信を断念し、リモートエンドが接続が閉じられたことを確認するのを待っている接続のようなものを示していると思います。netstat が関連プログラムを表示しないのは、プログラムが接続が閉じられていると見なし、接続に注意を払わなくなったためかもしれません。

心配すべきかどうかという質問に関して、私の答えは一言で言えば「いいえ」です。これは単に、コンピュータの一部がコンピュータの別の部分と通信していることを意味します。127.0.0.1 のプログラムが問題を引き起こしている場合、問題はコンピュータに悪意のあるプログラムがインストールされていることです。これは心配の原因となる可能性があります。ただし、プログラムが 127.0.0.1 との間で通信しているという事実は、通常、心配の原因にはなりません。なぜなら、これらの接続によって通常、追加のセキュリティ問題が発生することはないからです。このようなネットワーク接続は、むしろ通常の動作です。したがって、127.0.0.1 との間で 9 回の TIME_WAIT 接続は心配の種ではありません。

Answer

注: この回答は、Giacomo1968 の回答に追加されるものです。彼の言う通りです。私も、追加すべき詳細があると感じたので回答します。その回答では、TCP ポート 2559 について説明しています。

接続が 127.0.0.1 であるため、PC 上のプログラムが PC 上のプログラム (おそらく 2 番目のプログラム) と通信していることを意味します。

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED アクティブな接続の場合、一致するエントリが存在する可能性があります。したがって、次のエントリに加えて、次のエントリが存在する可能性があります。Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

TIME_WAIT ステータスの場合、これは当てはまらない可能性があります。トラブルシューティングプロセスの一環として、さらに情報を収集しようとしている場合は、このステータスを探すことになると思います。


Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT

次のようなものもあるかもしれません:


Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

システム名も削除します。私は通常netstat -nab、(Microsoft Windows の最新バージョンでは) より高速でわかりやすいためこれを使用します。ハイフンの後の n がないと、netstat は逆名前検索を実行します。これが 127.0.0.1 が Someuser-PC のように見える理由です。実際の IP パケットは実際にはテキスト名ではなく数値 IP アドレスを使用するため、これはより遅く、わかりにくくなります。(127.0.0.1 の名前を知りたい場合は、自分で手動で逆名前検索を実行できます。) 悪意のある攻撃者がいた場合、GoodGuy の順方向検索で 192.0.2.10 が示され、次に 198.51.100.50 の逆方向検索で GoodGuy が解決され、その後手動で GoodGuy を検索して、実際に攻撃しているアドレスが 198.51.100.50 であるのに、誤って 192.0.2.10 のせいにし始めるのは望ましくありません。私は数字に固執することでその誤りを避けています。数字の方がとにかく速いです。

利用可能な最適なプロセス名を取得するには、これを管理者として実行する必要がある場合があります。(管理者グループのアカウントだけを意味するわけではありません。UAC を使用している場合は、UAC の制限を回避するために管理者プロンプトが必要になる場合があります。)

ポート 54735 は、IANA の一時ポート範囲内にあるため、おそらく送信接続です。基本的に、その番号は送信接続用に予約されているか、送信接続用に意図されていることを意味します。(範囲はカスタマイズ可能なので、このコメントはデフォルトに基づいています。「一時」ポートという用語は、詳細を調べるために使用できる標準用語です。)

一般的に、セキュリティ上の理由から、TCP 接続が ESTABLISHED または LISTENING の場合に問題となります (LISTENING は ESTABLISHED 接続に変わる可能性があるため)。TIME_WAIT は、一定時間が経過すると自然に消えます。接続数が多い場合を除いて、心配する必要はありません。(Web サーバーが多数の接続を作成し、適切に閉じていないために、多数の TIME_WAIT 接続を生成することがあります。数十または数百の接続が考えられます)。このステータスは、通信を断念し、リモートエンドが接続が閉じられたことを確認するのを待っている接続のようなものを示していると思います。netstat が関連プログラムを表示しないのは、プログラムが接続が閉じられていると見なし、接続に注意を払わなくなったためかもしれません。

心配すべきかどうかという質問に関して、私の答えは一言で言えば「いいえ」です。これは単に、コンピュータの一部がコンピュータの別の部分と通信していることを意味します。127.0.0.1 のプログラムが問題を引き起こしている場合、問題はコンピュータに悪意のあるプログラムがインストールされていることです。これは心配の原因となる可能性があります。ただし、プログラムが 127.0.0.1 との間で通信しているという事実は、通常、心配の原因にはなりません。なぜなら、これらの接続によって通常、追加のセキュリティ問題が発生することはないからです。このようなネットワーク接続は、むしろ通常の動作です。したがって、127.0.0.1 との間で 9 回の TIME_WAIT 接続は心配の種ではありません。

Question 2

初め、netstat非常にシンプルなツールです。ネットワーク接続、ルーティングテーブル、インターフェイス統計、マスカレード接続、マルチキャストメンバーシップに関する情報を印刷するだけです。基本的には、ネットワーク全体の情報です。つまり、次のように記述します。

これはどういう意味ですか? 心配すべきでしょうか?

まあ、文字通りこれは私が読んでいるものです:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

127.0.0.1文字通り、これは、ポートを使用するIP アドレスのローカルマシンが、ポートで2559指定されたリモートマシンに TCP 接続を行っており、状態はであることを意味します。これは基本的に、接続が現在閉じられていることを意味しますが、接続を待機している、または接続を必要としている迷い込んだパケットがある場合に備えて、接続はマシン上で維持されています。Someuser-PC54735TIME_WAIT

今なぜその接続はいつ行われたのか？不明。2559に関連しているようですLinux ターミナルサーバープロジェクト (LSTP)次のように説明されます:

Linux ターミナルサーバープロジェクトは、Linux サーバーにシンクライアントサポートを追加します。LTSP は、世界中の学校、企業、組織がシンクライアントを簡単にインストールして展開できるようにする、柔軟でコスト効率の高いソリューションです。

の外国アドレスポート54735これは、通常「動的」または「プライベート」と見なされるポートの上位範囲にありますが、基本的には、「このポートを既知の方法で予約/要求する標準アプリケーションがないため、これらのポートはランダム/特異/アプリケーション固有の接続に使用されます。」という意味です。

私は LSTP について深い経験はなく、あなたの設定の詳細も知りませんし、理解もしていませんが、表面的には有効で正当な接続のように見えます。多くのプロトコルは、クライアントに既知のポートを使用し、宛先サーバーではランダム化された「プライベート」ポートを使用します。そのため、表面的にはこれは正常な動作のように見えます。正直netstatなところ、どの OS の PC でも、netstatこのように基本的に基本的なコマンドをフィルタリングなしで実行すると、大量のエントリが画面に表示されるだけです。ネットワークトラフィックは、調子が良くてクリーンなシステムでもノイズが多い場合があります。

Someuser-PCさて、これがローカル PC であり、のローカルホストループバックからそれに接続されているとしたら127.0.0.1、これはすべて、ローカルマシン上のアプリケーションの動作方法に関連している可能性があります。つまり、軽量の LSTP 端末エミュレーションを実行するソフトウェアを実行していて、コアコードは TCP パケットを使用して親の「サーバー」アプリケーションと通信しているということです。

しかし、正直に言うと、あなたの質問で提供される情報は最小限なので、これが悪いことなのか良いことなのかを判断するのは困難です。私の直感では、あなたの PC には、単に (悪意なく) LSTP 端末エミュレーションを使用して作業を行うソフトウェアがインストールされているだけだと思います。それ以上でもそれ以下でもありません。

Answer