Ayuda para comprender el resultado de "netstat -b"

Ayuda para comprender el resultado de "netstat -b"

Estoy usando Windows 7 de 64 bits, lo ejecuté netstat -by generé los datos en un archivo de texto. Hay 4 columnas "Proto", "Dirección local", "Dirección extranjera" y "Estado". La "Dirección extranjera" indica el nombre de mi computadora y un número de puerto. Hay al menos otros 9 como este, solo un puerto diferente en la dirección local y en la dirección extranjera.

Por ejemplo:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

¿Qué quiere decir esto? ¿Debería Preocuparme?

Respuesta1

Nota: Esta respuesta debe complementarse con la respuesta de Giacomo1968. Tiene toda la razón; También respondo porque sentí que tengo algunos detalles más que agregar. Dejé que esa respuesta hablara con el puerto TCP 2559.

Dado que su conexión es con 127.0.0.1, esto significa que un programa en su PC se está comunicando con un programa (probablemente un segundo programa) en su PC.

Para conexiones activas, es probable que tenga una entrada coincidente. Entonces, además de:
Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED también puedes tener: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

Es menos probable que esto sea cierto para el estado TIME_WAIT. Creo que lo buscaría si quisiera recopilar más información como parte del proceso de solución de problemas.

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT también puedes tener: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

También me desharía de los nombres del sistema. Normalmente lo uso netstat -nab(en las versiones modernas de MicrosoftWindows) porque es más rápido y claro. Sin la n después del guión, netstat realiza una búsqueda inversa de nombres, razón por la cual 127.0.0.1 se parece a Someuser-PC. Es más lento y menos claro porque los paquetes IP reales en realidad utilizan la dirección IP numérica, no los nombres de texto. (Si quiero saber el nombre de 127.0.0.1, puedo realizar una búsqueda inversa de nombres manualmente). Si hubiera un atacante malicioso, no querría que una búsqueda directa de GoodGuy apunte a 192.0.2.10, y luego una búsqueda inversa de 198.51.100.50 para resolver GoodGuy, y luego busco manualmente GoodGuy y empiezo a culpar incorrectamente a 192.0.2.10 cuando la dirección que realmente me está atacando es 198.51.100.50. Evito esa falacia ciñéndome a los números, que de todos modos son más rápidos.

Es posible que deba ejecutar esto como administrador para obtener el mejor nombre de proceso disponible. (No me refiero solo a una cuenta en el grupo Administradores; si tiene UAC, es posible que necesite un mensaje de administrador para superar las restricciones de UAC).

El puerto 54735 es probablemente la conexión saliente, ya que se encuentra en el rango de puertos efímeros de la IANA. Básicamente, lo que eso significa es que los números están reservados/destinados a conexiones salientes. (El rango es personalizable, por lo que baso este comentario en los valores predeterminados. El término puerto "efímero" es un término estándar que se puede utilizar para buscar más detalles).

Generalmente, por motivos de seguridad, las conexiones TCP son motivo de preocupación si están ESTABLECIDAS o ESCUCHANDO (porque ESCUCHA puede convertirse en una conexión ESTABLECIDA). TIME_WAIT debería desaparecer por sí solo después de un tiempo; No me preocuparía por eso a menos que tengas mucho. (A veces los servidores web generan muchas conexiones TIME_WAIT porque crean muchas conexiones y no las cierran correctamente. Creo que docenas o cientos). De improviso, creo que este estado indica algo así como una conexión que ha dejado de comunicarse. y está esperando que el extremo remoto reconozca que la conexión está cerrada. Puede ser que netstat no muestre un programa relacionado porque el programa considera que la conexión está cerrada y ha dejado de prestar atención a la conexión.

En cuanto a su pregunta sobre si debería preocuparse, mi respuesta resumida es: no. Simplemente significa que parte de su computadora está hablando con otra parte de su computadora. Si un programa en 127.0.0.1 está causando problemas, entonces su problema es que hay un programa malicioso instalado en su computadora. Eso podría ser motivo de preocupación. Sin embargo, el hecho de que un programa se comunique desde y hacia 127.0.0.1 no suele ser motivo de preocupación, porque esas conexiones normalmente no añaden ningún problema de seguridad adicional. Este tipo de conexiones de red son un comportamiento bastante normal. Por lo tanto, sus 9 conexiones TIME_WAIT desde/hacia 127.0.0.1 no son una preocupación.

Respuesta2

Primero,netstates una herramienta muy sencilla. Simplemente imprime información sobre conexiones de red, tablas de enrutamiento, estadísticas de interfaz, conexiones enmascaradas y membresías de multidifusión. Básicamente, solo información general de la red. Entonces dices esto:

¿Qué quiere decir esto? ¿Debería Preocuparme?

Bueno, literalmente esto es lo que estoy leyendo:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Literalmente, solo significa que su máquina local en la dirección IP del 127.0.0.1puerto que usa 2559está realizando una conexión TCP a una máquina remota nombrada Someuser-PCen el puerto 54735y el estado es, TIME_WAITlo que básicamente significa que la conexión ahora está cerrada, pero la conexión se mantiene viva en su máquina en caso de que haya paquetes perdidos/rezagados esperando/necesitando esa conexión.

Ahorapor qué¿Esa conexión se hizo en algún momento? Poco claro. El puerto de dirección local de2559parece estar conectado con elProyecto de servidor de terminal Linux (LSTP)que se describe como:

El Proyecto Linux Terminal Server agrega soporte de cliente ligero a los servidores Linux. LTSP es una solución flexible y rentable que permite a escuelas, empresas y organizaciones de todo el mundo instalar e implementar clientes ligeros fácilmente.

El puerto de la dirección extranjera de54735se encuentra en el rango alto de puertos que normalmente se consideran “dinámicos” o “privados”, pero básicamente significa: “No hay aplicaciones estándar que reserven/reclamen este puerto de una manera conocida, por lo que estos puertos se utilizan para fines aleatorios/idiosincrásicos/específicos de la aplicación”. conexiones”.

No tengo mucha experiencia con LSTP ni conozco (ni comprendo) los detalles de su configuración, pero superficialmente parece una conexión válida y legítima. Muchos protocolos utilizan un puerto conocido para el cliente y luego un puerto "privado" aleatorio en el servidor de destino. Entonces, superficialmente, esto me parece un comportamiento normal. Incluso si se muestran docenas de entradas netstatporque, honestamente, en una PC con cualquier sistema operativo, ejecutar un netstatcomando básicamente simple como ese, sin filtrar, simplemente arrojará montones de entradas en la pantalla; El tráfico de red puede ser ruidoso en un buen día y en un sistema limpio.

Ahora bien, si está diciendo que Someuser-PCes su PC local y hay conexiones desde su loopback localhost activado 127.0.0.1, entonces todo esto podría estar conectado a la forma en que funciona alguna aplicación en su máquina local. Lo que significa que, por lo que sabe, está ejecutando algún software que realiza una emulación de terminal LSTP liviana y el código central utiliza paquetes TCP para comunicarse con su aplicación "servidor" principal.

Pero, sinceramente, con la mínima información que proporciona su pregunta, es difícil decir si es bueno o malo. Mi instinto me dice que simplemente tiene algún software instalado en su PC que utiliza de manera simple (y no maliciosa) la emulación de terminal LSTP para hacer su trabajo. Nada más y nada menos.

información relacionada