Я использовал netstat и обнаружил, что какое-то приложение ПРОСЛУШИВАЕТ на обратной связи с внешним адресом 0.0.0.0
Означает ли это, что какое-то приложение потенциально является руткитом?
Спасибо
NAME LOCAL ADRESS FOREIGN ADRESS STATE PID
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 6796
решение1
внешний адрес 0.0.0.0 означает, что никто не подключился <-- У вас есть это.
локальный адрес 0.0.0.0 означает прослушивание всех интерфейсов. <-- У вас этого нет.
локальный адрес 127.0.0.1 означает, что прослушивание только на 127.0.0.1 означает, что только ваш компьютер может подключиться. <-- У вас есть это. Я думаю, что это довольно безвредно на самом деле. Даже прослушивание на 0.0.0.0 может быть в порядке, если у вас есть брандмауэр... (+маршрутизатор NAT помогает), но ваш намного безопаснее. Даже другой компьютер в вашей локальной сети не сможет подключиться, не говоря уже о Интернете!
СЛУШАЕТ, а не УСТАНАВЛИВАЕТ, то есть никто не подключен.
Все соединения LISTENING имеют внешний адрес 0.0.0.0 и я думаю, что, вероятно, и наоборот, все внешние адреса 0.0.0.0 указаны как LISTENING. Так что имеет смысл, что у вас есть LISTENING и внешний адрес 0.0.0.0. Это нормально.
В вашем случае ваш внешний адрес 0.0.0.0, поэтому никто не подключался
И в вашем случае, поскольку IP для локального адреса 127.0.0.1 в отличие от IP LAN или 0.0.0.0, это означает, что только 127.0.0.1 разрешено подключаться. Если бы это был адрес LAN, это означало бы, что любой из вашей LAN может подключиться, а если это был 0.0.0.0, то это означало бы, что любой может подключиться.
Локальный IP 127.0.0.1 LISTENING обычно вызывает наименьшее беспокойство, потому что только ваш локальный компьютер может подключиться к нему (ваш компьютер подключается сам к себе)! Как клиент и сервер, работающие... И это при УСТАНОВЛЕННОМ.
Локальный IP 0.0.0.0 LISTENING может быть больше проблемой безопасности, но может быть и нормальным. Но тогда вам нужно будет посмотреть, не из Интернета ли это внешний адрес, и какой у него PID. И подумайте, хотите ли вы, чтобы внешние адреса из Интернета подключались или хотите заблокировать их с помощью брандмауэра, и им также придется пройти через ваш маршрутизатор NAT, но это не ваша ситуация. Поскольку ваш сервер или служба прослушивает 127.0.0.1.
решение2
"0.0.0.0" означает, что сервер прослушивает каждый доступный интерфейс с соответствующим IP. Это не имеет ничего общего с руткитом, но вы, вероятно, захотите проверить это в любом случае, может быть, какая-то игра хочет позволить игрокам присоединиться через локальную сеть, или это windows netbios. Если вам нужна помощь в идентификации, пожалуйста, укажите номер порта в комментариях.