Assistência na compreensão do resultado de “netstat -b”

Assistência na compreensão do resultado de “netstat -b”

Estou usando o Windows 7 de 64 bits e executei netstat -be ele enviou os dados para um arquivo de texto. São 4 colunas “Proto”, “Endereço local”, “Endereço estrangeiro” e “Estado. O “Endereço Estrangeiro” indica o nome do meu computador e um número de porta. Existem pelo menos outros 9 como este, apenas uma porta diferente no endereço local e no endereço estrangeiro.

Por exemplo:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

O que isto significa? Devo me preocupar?

Responder1

Nota: Esta resposta deve ser um complemento à resposta de Giacomo1968. Ele está certo; Também estou respondendo porque senti que tenho mais alguns detalhes a acrescentar. Deixei essa resposta falar com a porta TCP 2559.

Como sua conexão é 127.0.0.1, isso significa que um programa no seu PC está se comunicando com um programa (provavelmente um segundo programa) no seu PC.

Para conexões ativas, é provável que você tenha uma entrada correspondente. Então, além de:
Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED você também pode ter: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

Pode ser menos provável que isso seja verdade para o status TIME_WAIT. Acho que procuraria isso se quisesse reunir mais informações como parte do processo de solução de problemas.

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT você também pode ter: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

Eu também me livraria dos nomes do sistema. Eu normalmente uso netstat -nab(nas versões modernas do Microsoft Windows) porque é mais rápido e claro. Sem o n após o hífen, o netstat realiza uma pesquisa reversa de nome, e é por isso que 127.0.0.1 se parece com Someuser-PC. É mais lento e menos claro, porque os pacotes IP reais usam o endereço IP numérico, não os nomes de texto. (Se eu quiser saber o nome de 127.0.0.1, posso realizar uma pesquisa reversa de nome manualmente.) Se houvesse um invasor mal-intencionado, eu não gostaria que uma pesquisa direta de GoodGuy apontasse para 192.0.2.10 e em seguida, uma pesquisa reversa de 198.51.100.50 para resolver para GoodGuy e, em seguida, procuro GoodGuy manualmente e começo a culpar incorretamente 192.0.2.10 quando o endereço que realmente está me atacando é 198.51.100.50. Evito essa falácia me atendo aos números, o que é mais rápido de qualquer maneira.

Pode ser necessário executá-lo como administrador para obter o melhor nome de processo disponível. (Não me refiro apenas a uma conta no grupo Administradores; se você tiver o UAC, poderá precisar de um prompt do administrador para superar as restrições do UAC.)

A porta 54735 é provavelmente a conexão de saída, pois está no intervalo de portas efêmeras da IANA. Basicamente, o que isso significa é que os números são reservados/destinados a conexões de saída. (O intervalo é personalizável, por isso baseio este comentário nos padrões. O termo porta "efêmera" é um termo padrão que pode ser usado para procurar mais detalhes.)

Geralmente, por motivos de segurança, as conexões TCP são preocupantes se forem ESTABLISHED ou LISTENING (porque LISTENING pode se transformar em uma conexão ESTABLISHED). TIME_WAIT deve desaparecer sozinho após um período de tempo; Eu não me preocuparia com isso a menos que você tenha muito. (Às vezes, os servidores da Web geram muitas conexões TIME_WAIT porque estão criando muitas conexões e não as fechando corretamente. Tipo, dezenas ou centenas, eu acredito.) De imediato, acredito que esse status indica algo como uma conexão que desistiu de se comunicar , e está aguardando que a extremidade remota reconheça que a conexão está fechada. Pode ser que o netstat não esteja mostrando um programa relacionado porque o programa considera a conexão fechada e parou de prestar atenção à conexão.

Em relação à sua pergunta sobre se devo me preocupar, minha resposta resumida é: não. Significa simplesmente que parte do seu computador está se comunicando com outra parte do computador. Se um programa em 127.0.0.1 estiver causando problemas, o problema é que um programa malicioso está instalado em seu computador. Isso pode ser motivo de preocupação. No entanto, o fato de um programa estar se comunicando de e para 127.0.0.1 normalmente não é motivo de preocupação, porque essas conexões normalmente não adicionam problemas de segurança adicionais. Essas conexões de rede são um comportamento bastante normal. Portanto, suas 9 conexões TIME_WAIT de/para 127.0.0.1 não são preocupantes.

Responder2

Primeiro,netstaté uma ferramenta muito simples. Ele simplesmente imprime informações sobre conexões de rede, tabelas de roteamento, estatísticas de interface, conexões mascaradas e associações multicast. Basicamente, apenas informações gerais da rede. Então você diz isso:

O que isto significa? Devo me preocupar?

Bem, literalmente é isso que estou lendo:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Literalmente, significa apenas que sua máquina local no endereço IP de 127.0.0.1uso da porta 2559está fazendo uma conexão TCP com uma máquina remota chamada Someuser-PCna porta 54735e o estado é TIME_WAITbasicamente significa que a conexão agora está fechada, mas a conexão está sendo mantida ativa em seu máquina apenas no caso de haver algum pacote perdido / perdido esperando / precisando dessa conexão.

Agorapor queessa conexão foi feita em algum momento? Não está claro. A porta de endereço local de2559parece estar ligado aoProjeto de servidor de terminal Linux (LSTP)que é descrito como:

O Linux Terminal Server Project adiciona suporte thin client aos servidores Linux. O LTSP é uma solução flexível e econômica que permite que escolas, empresas e organizações em todo o mundo instalem e implantem facilmente thin clients.

A porta de endereço estrangeiro de54735está na faixa alta de portas normalmente consideradas “dinâmicas” ou “privadas”, mas basicamente significa: “Não há aplicativos padrão que reservem/reivindicam esta porta de uma maneira conhecida, portanto, essas portas são usadas para operações aleatórias/idiossincráticas/específicas de aplicativos. conexões.”

Não tenho experiência profunda com LSTP nem conheço — ou entendo — as especificidades da sua configuração, mas superficialmente esta parece ser uma conexão válida e legítima. Muitos protocolos usam uma porta conhecida para o cliente e, em seguida, uma porta “privada” aleatória no servidor de destino. Então, superficialmente, isso parece um comportamento normal para mim. Mesmo que haja dezenas de entradas sendo mostradas netstatporque, honestamente, em um PC com qualquer sistema operacional, executar um netstatcomando basicamente simples como esse - sem filtragem - apenas despejará pilhas de entradas na tela; o tráfego de rede pode ser barulhento em um dia bom e em um sistema limpo.

Agora, se você está dizendo que esse Someuser-PCé o seu PC local e há conexões com ele a partir do loopback do host local 127.0.0.1, tudo isso pode estar conectado à maneira como algum aplicativo em sua máquina local está funcionando. Ou seja, pelo que você sabe, você está executando algum software que faz emulação leve de terminal LSTP e o código principal usa pacotes TCP para se comunicar com seu aplicativo “servidor” pai.

Mas, honestamente, com o mínimo de informações que sua pergunta fornece, é difícil dizer o contrário, se isso é bom ou ruim. Meu instinto me diz que você só tem algum software instalado em seu PC que usa simplesmente - e não maliciosamente - a emulação de terminal LSTP para fazer seu trabalho. Nada mais e nada menos.

informação relacionada