"netstat -b"의 출력을 이해하는 데 도움

참고: 이 답변은 Giacomo1968의 답변에 추가되는 것입니다. 그의 말이 옳다. 저도 추가할 내용이 더 있을 것 같아서 답변드립니다. 그 대답이 TCP 포트 2559에 전달되도록 했습니다.

127.0.0.1로 연결되어 있으므로 이는 PC의 프로그램이 PC의 프로그램(아마도 두 번째 프로그램)과 통신하고 있음을 의미합니다.

활성 연결의 경우 일치하는 항목이 있을 가능성이 있습니다. 따라서 다음 외에도 다음이
Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED 있을 수 있습니다. Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

TIME_WAIT 상태에서는 그렇지 않을 가능성이 높습니다. 문제 해결 과정의 일부로 더 많은 정보를 수집하려는 경우 해당 정보를 찾아볼 것이라고 생각합니다.

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT 당신은 또한 다음을 가질 수 있습니다 : Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

또한 시스템 이름도 제거하겠습니다. 나는 일반적 netstat -nab으로 더 빠르고 명확하기 때문에 (최신 Microsoft Windows 버전에서)를 사용합니다. 하이픈 뒤에 n이 없으면 netstat는 역방향 이름 조회를 수행하므로 127.0.0.1이 Someuser-PC처럼 보입니다. 실제 IP 패킷은 실제로 텍스트 이름이 아닌 숫자 IP 주소를 사용하기 때문에 속도가 느리고 명확하지 않습니다. (127.0.0.1의 이름을 알고 싶다면 수동으로 역이름 조회를 직접 수행할 수 있습니다.) 악의적인 공격자가 있는 경우 GoodGuy의 정방향 조회가 192.0.2.10을 가리키는 것을 원하지 않을 것이며, 그런 다음 198.51.100.50을 역방향 조회하여 GoodGuy를 확인한 다음 수동으로 GoodGuy를 조회하고 실제로 나를 공격하는 주소가 198.51.100.50일 때 192.0.2.10을 잘못 비난하기 시작합니다. 나는 어쨌든 더 빠른 숫자를 고수함으로써 그 오류를 피합니다.

사용 가능한 최상의 프로세스 이름을 얻으려면 관리자 권한으로 이를 실행해야 할 수도 있습니다. (단순히 관리자 그룹의 계정을 의미하는 것이 아닙니다. UAC가 있는 경우 UAC 제한 사항을 통과하려면 관리자 프롬프트가 필요할 수 있습니다.)

포트 54735는 IANA의 임시 포트 범위에 속하므로 나가는 연결일 가능성이 높습니다. 기본적으로 이것이 의미하는 바는 번호가 나가는 연결을 위해 예약/의도된다는 것입니다. (범위는 사용자 정의 가능하므로 이 설명은 기본값을 기반으로 합니다. "임시" 포트라는 용어는 자세한 내용을 조회하는 데 사용할 수 있는 표준 용어입니다.)

일반적으로 보안을 위해 TCP 연결이 ESTABLISHED 또는 LISTENING 상태인 경우 문제가 됩니다. 왜냐하면 LISTENING이 ESTABLISHED 연결로 바뀔 수 있기 때문입니다. TIME_WAIT는 일정 시간이 지나면 저절로 사라져야 합니다. 많이 가지지 않는 한 그런 걱정은 안 할게요. (때때로 웹 서버는 많은 연결을 생성하고 제대로 닫지 않기 때문에 많은 TIME_WAIT 연결을 생성합니다. 수십 또는 수백 개 정도일 것입니다.) 즉석에서 이 상태는 통신을 포기한 연결과 같은 것을 나타내는 것이라고 생각합니다. , 원격 끝에서 연결이 닫혔음을 확인하기를 기다리고 있습니다. 프로그램이 연결이 닫힌 것으로 간주하고 연결에 대한 주의를 기울이지 않기 때문에 netstat가 관련 프로그램을 표시하지 않는 것일 수 있습니다.

걱정해야 하는지에 대한 귀하의 질문에 대해 간단히 말해서 제 대답은 '아니오'입니다. 이는 단순히 컴퓨터의 일부가 컴퓨터의 다른 부분과 통신하고 있음을 의미합니다. 127.0.0.1의 프로그램이 문제를 일으키는 경우 문제는 컴퓨터에 악성 프로그램이 설치되어 있다는 것입니다. 그것은 우려의 원인이 될 수 있습니다. 그러나 프로그램이 127.0.0.1과 통신한다는 사실은 일반적으로 문제의 원인이 되지 않습니다. 왜냐하면 이러한 연결은 일반적으로 추가 보안 문제를 추가하지 않기 때문입니다. 이러한 네트워크 연결은 다소 정상적인 동작입니다. 따라서 127.0.0.1과의 9 TIME_WAIT 연결은 문제가 되지 않습니다.

첫 번째,netstat매우 간단한 도구입니다. 이는 단순히 네트워크 연결, 라우팅 테이블, 인터페이스 통계, 가상 연결 및 멀티캐스트 멤버십에 대한 정보를 인쇄합니다. 기본적으로 전체 네트워크 정보입니다. 그래서 당신은 이렇게 말합니다.

이것은 무엇을 의미 하는가? 걱정해야 할까요?

문자 그대로 내가 읽고 있는 내용은 다음과 같습니다.

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

말 그대로, 이는 127.0.0.1포트를 사용하는 IP 주소의 로컬 시스템이 포트 2559이름이 지정된 원격 시스템에 TCP 연결을 만들고 있음 을 의미하며 상태는 기본적으로 연결이 이제 닫혀 있지만 연결이 활성 상태로 유지됨을 의미합니다. 해당 연결을 기다리고 있거나 필요로 하는 길잃은/낙오자 패킷이 있는 경우를 대비하여 머신.Someuser-PC54735TIME_WAIT

지금왜그 연결은 어느 시점에 이루어졌나요? 불분명하다. 로컬 주소 포트2559과 연결되어 있는 것 같습니다.Linux 터미널 서버 프로젝트(LSTP)이는 다음과 같이 설명됩니다.

Linux 터미널 서버 프로젝트는 Linux 서버에 씬 클라이언트 지원을 추가합니다. LTSP는 전 세계의 학교, 기업 및 조직이 씬 클라이언트를 쉽게 설치하고 배포할 수 있도록 지원하는 유연하고 비용 효과적인 솔루션입니다.

외국 주소 항구54735일반적으로 "동적" 또는 "개인"으로 간주되는 높은 범위의 포트에 속하지만 기본적으로는 "알려진 방식으로 이 포트를 예약/요청하는 표준 응용 프로그램이 없으므로 이러한 포트는 무작위/특이성/응용 프로그램별 용도로 사용됩니다." 사이."

나는 LSTP에 대한 깊은 경험이 없으며 설정의 세부 사항을 알거나 이해하지 못하지만 표면적으로 이것은 유효하고 합법적인 연결처럼 보입니다. 많은 프로토콜은 클라이언트에 대해 알려진 포트를 사용한 다음 대상 서버에서 무작위 "개인" 포트를 사용합니다. 그래서 이것은 표면적으로는 정상적인 행동처럼 보입니다. netstat솔직히 어떤 OS가 설치된 PC에서 수십 개의 항목이 표시되더라도 기본적으로 netstat필터링 없이 이와 같은 기본 명령을 실행하면 화면에 항목 더미가 덤프됩니다. 날씨가 좋은 날, 깨끗한 시스템에서는 네트워킹 트래픽이 시끄러울 수 있습니다.

Someuser-PC이제 이것이 로컬 PC이고 로컬 호스트 루프백에서 이에 대한 연결이 있다고 말하면 127.0.0.1이 모든 것이 로컬 컴퓨터의 일부 응용 프로그램이 작동하는 방식에 연결될 수 있습니다. 여러분이 알고 있는 모든 의미는 경량 LSTP 터미널 에뮬레이션을 수행하는 일부 소프트웨어를 실행하고 있으며 핵심 코드는 TCP 패킷을 사용하여 상위 "서버" 애플리케이션과 통신한다는 의미입니다.

그러나 솔직히 귀하의 질문이 제공하는 최소한의 정보로는 이것이 나쁜지 좋은지 달리 말하기가 어렵습니다. 내 직감으로는 LSTP 터미널 에뮬레이션을 사용하여 작업을 수행하는 간단하고 악의적이지 않은 일부 소프트웨어가 PC에 설치되어 있다고 말합니다. 그 이상도 그 이하도 아닙니다.