netstatを使用して、0.0.0.0の外部アドレスでループバックをLISTENINGしているアプリを見つけました。
これは、一部のアプリが潜在的にルートキットであることを意味しますか?
ありがとう
NAME LOCAL ADRESS FOREIGN ADRESS STATE PID
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 6796
答え1
0.0.0.0 の外部アドレスは、誰も接続していないことを意味します <-- これがあります。
0.0.0.0 ローカル アドレスは、すべてのインターフェイスでリッスンすることを意味します。<-- これはありません。
127.0.0.1 ローカル アドレスは、127.0.0.1 のみをリッスンすることを意味し、つまり、あなたのコンピューターのみが接続できることを意味します。<-- あなたはこれを持っています。これは実際にはかなり無害だと思います。ファイアウォールがある場合は、0.0.0.0 をリッスンしても問題ありません...(+NAT ルーターが役立ちます)。しかし、あなたのコンピューターはそれよりはるかに安全です。インターネットからはもちろん、LAN 上の別のコンピューターも接続できません。
ESTABLISHED ではなく LISTENING なので、誰も接続していないことを意味します。
すべての LISTENING 接続には 0.0.0.0 の外部アドレスがあり、おそらくその逆も当てはまると思います。0.0.0.0 のすべての外部アドレスは LISTENING としてリストされます。したがって、LISTENING と 0.0.0.0 の外部アドレスがあるのは当然です。これは正常です。
あなたの場合、海外のアドレスは0.0.0.0なので、誰も接続していません
また、あなたの場合、ローカル アドレスの IP は LAN IP または 0.0.0.0 ではなく 127.0.0.1 なので、127.0.0.1 のみが接続を許可されます。これが LAN アドレスであれば、LAN の誰でも接続できることを意味し、0.0.0.0 であれば誰でも接続できることを意味します。
ローカル IP 127.0.0.1 の LISTENING は、通常、ローカル コンピューターだけが接続できるため (コンピューターが自分自身に接続しているため)、最も心配する必要がありません。クライアントとサーバーが実行しているような状態です。そして、それが ESTABLISHED の状態です。
0.0.0.0 の LISTENING というローカル IP は、セキュリティ上の懸念が増す可能性がありますが、問題ない場合もあります。ただし、外部アドレスがインターネットからのものであるかどうか、また PID が何であるかを確認する必要があります。また、インターネットからの外部アドレスが接続することを望むか、ファイアウォールでそれらをブロックするかを検討します。その場合、それらのアドレスも NAT ルーターを通過する必要があります。ただし、これは状況に当てはまりません。サーバーまたはサービスは 127.0.0.1 でリッスンしているためです。
答え2
「0.0.0.0」は、サーバーが対応する IP を持つすべての利用可能なインターフェイスをリッスンしていることを意味します。これはルート キットとは関係ありませんが、いずれにしても確認する必要があるでしょう。一部のゲームではプレーヤーが LAN 経由で参加できるようにしたい場合や、Windows NetBIOS の問題である場合があります。識別にヘルプが必要な場合は、ポート番号をコメントしてください。