Ich habe netstat verwendet und einige Apps gefunden, die im Loopback mit der Fremdadresse 0.0.0.0 LISTENING sind.
Bedeutet dies, dass es sich bei manchen Apps möglicherweise um ein Rootkit handelt?
Danke
NAME LOCAL ADRESS FOREIGN ADRESS STATE PID
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 6796
Antwort1
eine 0.0.0.0-Fremdadresse bedeutet, dass niemand eine Verbindung hergestellt hat <-- Sie haben dies.
eine lokale Adresse 0.0.0.0 bedeutet, dass auf allen Schnittstellen lauscht wird. <-- Das haben Sie nicht.
eine lokale Adresse 127.0.0.1 bedeutet, dass nur auf 127.0.0.1 gelauscht wird, was bedeutet, dass nur Ihr Computer eine Verbindung herstellen kann. <-- Das haben Sie. Ich würde denken, dass das eigentlich ziemlich harmlos ist. Sogar das Lauschen auf 0.0.0.0 kann in Ordnung sein, wenn Sie eine Firewall haben. (+NAT-Router hilft), aber Ihr Computer ist viel sicherer. Sogar ein anderer Computer in Ihrem LAN könnte keine Verbindung herstellen, geschweige denn aus dem Internet!
„LISTENING“ (Zuhören) statt „ESTABLISHED“ (Hergestellt), was bedeutet, dass niemand verbunden ist.
Alle LISTENING-Verbindungen haben die Fremdadresse 0.0.0.0 und ich denke, wahrscheinlich ist es auch umgekehrt, alle Fremdadressen von 0.0.0.0 werden als LISTENING aufgeführt. Es macht also Sinn, dass Sie LISTENING und eine Fremdadresse von 0.0.0.0 haben. Das ist normal.
In Ihrem Fall ist Ihre ausländische Adresse 0.0.0.0, also hat sich niemand verbunden
Und in Ihrem Fall bedeutet dies, dass nur 127.0.0.1 eine Verbindung herstellen darf, da die IP für die lokale Adresse 127.0.0.1 ist und nicht eine LAN-IP oder 0.0.0.0. Wenn es eine LAN-Adresse wäre, bedeutet dies, dass sich jeder aus Ihrem LAN verbinden kann, und wenn es 0.0.0.0 wäre, bedeutet dies, dass sich jeder verbinden kann.
Eine lokale IP von 127.0.0.1 LISTENING ist normalerweise das geringste Problem, da nur Ihr lokaler Computer eine Verbindung damit herstellen kann (Ihr Computer stellt eine Verbindung mit sich selbst her)! Wie ein laufender Client und Server. Und das ist, wenn ESTABLISHED.
Eine lokale IP von 0.0.0.0 LISTENING kann ein größeres Sicherheitsrisiko darstellen, kann aber in Ordnung sein. Dann sollten Sie jedoch prüfen, ob die fremde Adresse aus dem Internet stammt und was die PID ist. Und überlegen Sie, ob Sie eine Verbindung mit fremden Adressen aus dem Internet herstellen möchten oder ob Sie diese mit Ihrer Firewall blockieren möchten. Diese müssten auch an Ihrem NAT-Router vorbei. Dies ist jedoch nicht Ihre Situation. Da Ihr Server oder Dienst auf 127.0.0.1 lauscht.
Antwort2
"0.0.0.0" bedeutet, dass ein Server auf jeder verfügbaren Schnittstelle mit der entsprechenden IP lauscht. Das hat nichts mit einem Rootkit zu tun, aber Sie sollten es trotzdem überprüfen. Vielleicht möchte ein Spiel Spielern den Beitritt über LAN ermöglichen oder es liegt am Windows NetBIOS. Wenn Sie Hilfe bei der Identifizierung benötigen, kommentieren Sie bitte die Portnummer.