Ich führe auf meinem System einfache Port-Scans aus und weiß nicht, ob ich verwirrt bin oder nicht.
Nach dem Laufen lsof -isind meine Ergebnisse:
BEFEHL PID BENUTZER FD TYP GERÄTEGRÖSSE/AUS KNOTENNAME firefox-e 8008 legion 43u IPv4 96999 0t0 TCP KryptL0c:44376->ec2-34-212-188-196.us-west-2.compute.amazonaws.com:https (HERGESTELLT) firefox-e 8008 legion 67u IPv4 84170 0t0 TCP KryptL0c:52778->ord37s09-in-f10.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 94u IPv4 93549 0t0 TCP KryptL0c:56526->ord37s35-in-f1.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 98u IPv4 89869 0t0 TCP KryptL0c:47874->ec2-52-86-133-10.compute-1.amazonaws.com:https (HERGESTELLT) firefox-e 8008 legion 126u IPv4 98838 0t0 TCP KryptL0c:40792->ord38s28-in-f10.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 131u IPv4 98839 0t0 TCP KryptL0c:41878->ord38s01-in-f10.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 133u IPv4 88016 0t0 TCP KryptL0c:44998->server-99-84-167-136.ord52.r.cloudfront.net:https (HERGESTELLT) firefox-e 8008 legion 176u IPv4 88018 0t0 TCP KryptL0c:51574->ord37s18-in-f2.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 179u IPv4 86297 0t0 TCP KryptL0c:46752->142.250.123.157:https (HERGESTELLT) firefox-e 8008 legion 184u IPv4 84401 0t0 TCP KryptL0c:40262->ord38s08-in-f2.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 187u IPv4 92092 0t0 TCP KryptL0c:38700->ord38s28-in-f1.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 193u IPv4 89558 0t0 TCP KryptL0c:40714->ord37s09-in-f2.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 199u IPv4 90795 0t0 TCP KryptL0c:47760->136.144.59.88:https (HERGESTELLT) firefox-e 8008 legion 201u IPv4 90789 0t0 TCP KryptL0c:40586->server-99-84-253-65.ord50.r.cloudfront.net:https (HERGESTELLT) firefox-e 8008 legion 210u IPv4 90803 0t0 TCP KryptL0c:41732->lga15s49-in-f4.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 214u IPv4 90805 0t0 TCP KryptL0c:45540->rio01s25-in-f3.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 221u IPv4 97886 0t0 TCP KryptL0c:41752->ord37s07-in-f14.1e100.net:https (HERGESTELLT) firefox-e 8008 legion 301u IPv4 92423 0t0 TCP KryptL0c:59832->ord38s04-in-f2.1e100.net:https (HERGESTELLT)
In der ersten Zeile ist der Port 44376, richtig?
Wenn das richtig ist und diese Dienste auf meinem System eingerichtet sind, warum nmap -p 1-65535 xxx.xxx.x.xxxerhalte ich dann bei einem Port-Scan die Meldung, dass keine Ports offen sind?
Antwort1
In der ersten Zeile ist der Port 44376, richtig?
Ja, der lokale Port ist 44376. Sie sehen jedoch eine bestehende Verbindung zwischen Ihrem System und einem Remote-Host. Eine Verbindung auf einem Port bedeutet nicht, dass auf diesem Port ein Listening-Socket vorhanden ist.
Da der lokale Port hoch ist (> 40.000) und der Remote-Port 443 (HTTPS) ist, können wir mit hoher Sicherheit davon ausgehen, dass dies eine ausgehende Verbindung zu einem HTTPS-Dienst im Internet ist.
Ich gehe davon aus, dass Sie macOS oder BSD verwenden.
Betrachten Sie die folgenden Beispiele für tatsächliche Listener ( -Pdamit die Ports nicht in „bekannte Portnamen“ aufgelöst werden):
$ lsof -i udp -P
…
syncthing 16758 fuzzy 7u IPv6 0xd2b0d06f6f1a443d 0t0 UDP *:22000
…
$ lsof -i tcp -P
…
syncthing 16758 fuzzy 17u IPv6 0xd2b0d06f70a57bfd 0t0 TCP *:22000 (LISTEN)
…
Wie man sieht, sind sie leicht zu unterscheiden: Sie haben keine Remote-Endpunkte. Da es bei TCP einen richtigen „Listening“-Zustand gibt, wird dieser auch explizit aufgelistet. Bei UDP ist das nicht so einfach.
Wenn ich NMAP gegen TCP-Port 22000 ausführen würde, würde es als offen gemeldet.
Antwort2
KryptL0c:44376->ec2-34-212-188-196.us-west-2.compute.amazonaws.com:https
In diesem Fall können wirschließendass die Verbindung vom Client-Host:Port der Quelle KryptL0c:44376zum ->Zielserver-Host:Port von zeigt ec2-34-212-188-196.us-west-2.compute.amazonaws.com:https, da https ein bekannter Dienst ist.
Quellports werden für ausgehende, clientseitige Verbindungen verwendet und werden von keinen Diensten überwacht. Deshalb werden sie nicht als offen angezeigt. Beispielsweise verwendet jede Webbrowser-Verbindung zu einem Webserver einen anderen Client-/Quellport, um die Netzwerkverbindung zu öffnen. Der Port wird automatisch geschlossen, wenn die Verbindung geschlossen wird, und für die nächste Verbindung wird ein neuer Port verwendet. Quellports haben im Allgemeinen hohe Nummern über 32768.
Außerdem werden allgemeine Service-Portnummern httpsmithilfe der Datei /etc/services in Namen wie (das ist Port 443) aufgelöst und erscheinen in Ausgaben wie diesen häufig nicht als Nummern.