
netstat は、さまざまな奇妙な場所からの不明な接続を多数表示しています。これらは単に接続を確立しようとしているだけでしょうか? それとも、私のサーバーが侵害されているのでしょうか? 以下のログからローカル アドレスを削除しました。
ストリーム接続 8353 P8352 [root@ns512646 ~]# ネットスタット アクティブなインターネット接続(サーバーなし) プロトコル 受信-Q 送信-Q ローカルアドレス 外部アドレス 状態 tcp 0 0 s1.securityresearch.3:60000 確立 tcp 0 0 hn.kd.ny.adsl:17353 確立 tcp 0 0 s4.securityresearch.3:60000 確立 tcp 0 0 s3.securityresearch.3:60000 確立 tcp 0 0 hn.kd.ny.adsl:28534 確立 tcp 0 0 s4.securityresearch.3:60000 確立
答え1
netstat -na と入力すると、より詳しい情報が表示されます。サーバーはありますが、何が接続されているかはわかりません。
また、これは非常に基本的な要求であり、man netstat を参照すれば、このような要求を実行する必要がなくなります。
答え2
接続が確立されている場合、リモート接続ホストが、ホストでリッスンしているサービスとのセッションを正常にネゴシエートしたことを意味します。
ここでローカル アドレス列を削除すると、残念ながら重要な情報が省略されます。知りたいのは、これらのリモート ホストがマシン上のどのサービス/ポートに接続しているか、およびそのトラフィックが正当/予期されるものであるかどうかです。
netstat にフラグを追加する-p
と、これらのポートでリッスンしているプロセスの PID とプログラム名が表示されます (自分のプロセス以外のプロセスを表示するには、ルート権限が必要です)。また、-e
プロセスがどのユーザーとして実行されているかが表示されます。