Hilfestellung zum Verständnis der Ausgabe von „netstat -b“

Hilfestellung zum Verständnis der Ausgabe von „netstat -b“

Ich verwende Windows 7 64-Bit und habe es ausgeführt netstat -bund die Daten in eine Textdatei ausgegeben. Es gibt 4 Spalten: „Proto“, „Lokale Adresse“, „Fremdadresse“ und „Staat“. Die „Fremdadresse“ gibt meinen Computernamen und eine Portnummer an. Es gibt mindestens 9 weitere wie diese, nur einen anderen Port für die lokale Adresse und die Fremdadresse.

Zum Beispiel:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Was bedeutet das? Muss ich mir Sorgen machen?

Antwort1

Hinweis: Diese Antwort soll die Antwort von Giacomo1968 ergänzen. Er hat völlig recht; ich antworte auch, weil ich das Gefühl habe, dass ich noch einige Details hinzufügen möchte. Ich habe diese Antwort auf den TCP-Port 2559 bezogen.

Da Ihre Verbindung mit 127.0.0.1 besteht, bedeutet dies, dass ein Programm auf Ihrem PC mit einem Programm (wahrscheinlich einem zweiten Programm) auf Ihrem PC kommuniziert.

Bei aktiven Verbindungen besteht die Möglichkeit, dass Sie einen passenden Eintrag haben. Zusätzlich zu:
Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED haben Sie möglicherweise auch: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

Dies trifft auf den Status TIME_WAIT möglicherweise weniger zu. Ich denke, ich würde danach suchen, wenn ich im Rahmen der Fehlerbehebung weitere Informationen sammeln möchte.

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT Möglicherweise haben Sie auch: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

Ich würde auch die Systemnamen loswerden. Normalerweise verwende ich netstat -nab(in modernen MicrosoftWindows-Versionen), weil es schneller und klarer ist. Ohne das n nach dem Bindestrich führt netstat eine umgekehrte Namenssuche durch, weshalb 127.0.0.1 wie Someuser-PC aussieht. Es ist langsamer und weniger klar, weil die tatsächlichen IP-Pakete tatsächlich die numerische IP-Adresse verwenden, nicht die Textnamen. (Wenn ich den Namen von 127.0.0.1 wissen möchte, kann ich selbst manuell eine umgekehrte Namenssuche durchführen.) Wenn es einen böswilligen Angreifer gäbe, würde ich nicht wollen, dass eine Vorwärtssuche von GoodGuy auf 192.0.2.10 verweist und dann eine umgekehrte Suche von 198.51.100.50 zu GoodGuy aufgelöst wird, und dann suche ich manuell nach GoodGuy und beginne fälschlicherweise, 192.0.2.10 zu beschuldigen, wenn die Adresse, die mich wirklich angreift, 198.51.100.50 ist. Ich vermeide diesen Trugschluss, indem ich mich an die Zahlen bleibe, was sowieso schneller geht.

Möglicherweise müssen Sie dies als Administrator ausführen, um den besten verfügbaren Prozessnamen zu erhalten. (Ich meine nicht nur ein Konto in der Administratorgruppe; wenn Sie UAC haben, benötigen Sie möglicherweise eine Administratoraufforderung, um die UAC-Einschränkungen zu umgehen.)

Port 54735 ist wahrscheinlich die ausgehende Verbindung, da er sich im temporären Portbereich von IANA befindet. Im Grunde bedeutet das, dass die Nummern für ausgehende Verbindungen reserviert/vorgesehen sind. (Der Bereich ist anpassbar, daher stütze ich diesen Kommentar auf die Standardwerte. Der Begriff „temporärer“ Port ist ein Standardbegriff, der zum Nachschlagen weiterer Details verwendet werden kann.)

Aus Sicherheitsgründen sind TCP-Verbindungen im Allgemeinen dann bedenklich, wenn sie ESTABLISHED oder LISTENING sind (denn LISTENING kann zu einer ESTABLISHED-Verbindung werden). TIME_WAIT sollte nach einer gewissen Zeit von selbst verschwinden; ich würde mir darüber keine Sorgen machen, es sei denn, Sie haben viele. (Manchmal generieren Webserver viele TIME_WAIT-Verbindungen, weil sie viele Verbindungen herstellen und diese nicht ordnungsgemäß schließen. So, Dutzende oder Hunderte, glaube ich.) Spontan glaube ich, dass dieser Status so etwas wie eine Verbindung anzeigt, die die Kommunikation aufgegeben hat und darauf wartet, dass das Remote-Ende bestätigt, dass die Verbindung geschlossen ist. Es kann sein, dass netstat ein zugehöriges Programm nicht anzeigt, weil das Programm die Verbindung als geschlossen betrachtet und aufgehört hat, der Verbindung Beachtung zu schenken.

Auf Ihre Frage, ob Sie sich Sorgen machen sollten, lautet meine Antwort kurz und knapp: Nein. Es bedeutet einfach, dass ein Teil Ihres Computers mit einem anderen Teil Ihres Computers kommuniziert. Wenn ein Programm auf 127.0.0.1 Probleme verursacht, dann liegt das Problem darin, dass auf Ihrem Computer ein Schadprogramm installiert ist. Das könnte Anlass zur Sorge geben. Die Tatsache, dass ein Programm von und zu 127.0.0.1 kommuniziert, ist jedoch normalerweise kein Grund zur Sorge, da diese Verbindungen normalerweise keine zusätzlichen Sicherheitsprobleme verursachen. Solche Netzwerkverbindungen sind eher normales Verhalten. Ihre 9 TIME_WAIT-Verbindungen von/zu 127.0.0.1 sind also kein Grund zur Sorge.

Antwort2

Erste,netstatist ein sehr einfaches Tool. Es druckt einfach Informationen über Netzwerkverbindungen, Routing-Tabellen, Schnittstellenstatistiken, Masquerade-Verbindungen und Multicast-Mitgliedschaften aus. Im Grunde nur allgemeine Netzwerkinformationen. Sie sagen also Folgendes:

Was bedeutet das? Muss ich mir Sorgen machen?

Nun, das ist wörtlich, was ich lese:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Wörtlich bedeutet es nur, dass Ihr lokaler Computer unter der IP-Adresse des 127.0.0.1verwendeten Ports 2559eine TCP-Verbindung zu einem Remotecomputer mit dem Namen Someuser-PCauf Port herstellt 54735und der Status lautet , TIME_WAITwas im Grunde bedeutet, dass die Verbindung jetzt geschlossen ist, aber auf Ihrem Computer aufrechterhalten wird, für den Fall, dass irgendwelche verirrten/nachzüglerischen Pakete auf diese Verbindung warten/sie benötigen.

JetztWarumdass die Verbindung irgendwann hergestellt wurde? Unklar. Der lokale Adressport von2559scheint verbunden zu sein mit demLinux Terminal Server Project (LSTP)welches wie folgt beschrieben wird:

Das Linux Terminal Server Project erweitert Linux-Server um Thin-Client-Unterstützung. LTSP ist eine flexible, kostengünstige Lösung, die Schulen, Unternehmen und Organisationen auf der ganzen Welt die einfache Installation und Bereitstellung von Thin Clients ermöglicht.

Der ausländische Adressport von54735liegt im oberen Bereich der Ports, die normalerweise als „dynamisch“ oder „privat“ betrachtet werden, bedeutet aber im Grunde: „Es gibt keine Standardanwendungen, die diesen Port in bekannter Weise reservieren/beanspruchen, daher werden diese Ports für zufällige/eigenwillige/anwendungsspezifische Verbindungen verwendet.“

Ich habe weder umfassende Erfahrung mit LSTP noch kenne oder verstehe ich die Einzelheiten Ihres Setups, aber oberflächlich betrachtet scheint dies eine gültige und legitime Verbindung zu sein. Viele Protokolle verwenden einen bekannten Port für den Client und dann einen zufälligen „privaten“ Port auf dem Zielserver. Daher scheint mir dies oberflächlich betrachtet ein normales Verhalten zu sein. Selbst wenn Dutzende von Einträgen angezeigt werden, netstatdenn ehrlich gesagt wird auf einem PC mit jedem Betriebssystem die Ausführung eines im Grunde einfachen netstatBefehls wie diesem – ohne Filterung – nur haufenweise Einträge auf dem Bildschirm ausgeben; der Netzwerkverkehr kann an einem guten Tag und auf einem sauberen System laut sein.

Wenn Sie nun sagen, dass dies Someuser-PCIhr lokaler PC ist und es Verbindungen von Ihrem lokalen Host-Loopback gibt 127.0.0.1, dann könnte dies alles mit der Funktionsweise einer Anwendung auf Ihrem lokalen Computer zusammenhängen. Das bedeutet, dass Sie nach allem, was Sie wissen, eine Software ausführen, die eine leichte LSTP-Terminalemulation durchführt, und der Kerncode verwendet TCP-Pakete, um mit der übergeordneten „Server“-Anwendung zu kommunizieren.

Aber ehrlich gesagt, mit den wenigen Informationen, die Ihre Frage liefert, ist es schwer zu sagen, ob das gut oder schlecht ist. Mein Bauchgefühl sagt mir, dass Sie einfach eine Software auf Ihrem PC installiert haben, die einfach – und ohne böse Absicht – die LSTP-Terminalemulation verwendet, um ihre Arbeit zu erledigen. Nicht mehr und nicht weniger.

verwandte Informationen