サービスの一時ポートをどのように知ることができますか?

サービスの一時ポートをどのように知ることができますか?

Cent OS 7では、次をnetstat -an使用してネットワークサービスを確認します。

[root@localhost etc]# netstat -an | grep ESTABLISHED
udp        0      0 192.168.1.25:41136      61.216.153.106:123      ESTABLISHED
udp        0      0 192.168.1.25:59141      202.112.29.82:123       ESTABLISHED
udp        0      0 192.168.1.25:53680      115.28.122.198:123      ESTABLISHED
udp        0      0 192.168.1.25:34255      42.51.22.35:123         ESTABLISHED

そこで一時的なポートを見ることができます 41136。サービスがポートを使用している場合は3306MySQLであることがわかり、ポートがある場合は8080Tomcatであることがわかります。しかし、一時的なポートはどうですか?どのサービスがこれらのポートに関連付けられているかどうかはどうすればわかりますか?

答え1

一時ポートの場合:

Internet Assigned Numbers Authority(IANA)では、動的ポートまたはプライベートポート範囲を49152〜65535(2 15 + 2 14〜2 16 -1)としてお勧めします。多くのLinuxカーネルは32768から61000までのポート範囲を使用します。

質問した例のように、TCP / IPタプルの宛先を確認してください。

udp        0      0 192.168.1.25:41136      61.216.153.106:123

NTPサービスUDP / 123を使用しているリモートサーバーの現在のシステムであることがわかります。

そうでない場合、NTP要求を中国のNTPサーバーに送信するのはあなたのコンピュータです。

実際、この4つの回線はすべて中国のNTPサーバーに接続されています。

通常、ほとんどのプロトコルで既知のポートサービスがユーザー側(最初)にある場合は通常接続をリッスンするサーバーであり、逆に一時ポートは右側にあり、通常はリモートサービスを使用するサーバーです。 。

(あなたのサーバーは中国にありますか?それ以外の場合、マルウェアが心配する可能性があります。)

-nIPアドレス/ DNSとサービス名を解決するために削除することもできますが、接続が多い(および/または遅いDNSサービスを使用する)コンピュータ/サーバーにかなりの待ち時間が発生することに注意してください。違いを感じるために、元のnetstat出力を次のことなく可能な出力に調整しました-n

$netstat -a | grep ESTABLISHED
udp        0      0 mylinux:41136      vns1.hinet.net:ntp        ESTABLISHED
udp        0      0 mylinux:59141      DNS1.SYNET.EDU.CN:ntp     ESTABLISHED
udp        0      0 mylinux:53680      rdns1.alidns.com:ntp      ESTABLISHED
udp        0      0 mylinux:34255      ns1.htudns.com:ntp        ESTABLISHED

答え2

netstat -pローカルに開いたポートを持つプログラムのpidと名前を取得するために使用できます。これは通常-aと一緒に使用できます-n

ほとんどのシステムでこれを行うには、root権限が必要です。

答え3

に見られるようにnetstatネット働く統計資料統計)出力、

Proto Recv-Q Send-Q Local Address           Foreign Address         State   
udp        0      0 192.168.1.25:41136      61.216.153.106:123      ESTABLISHED

192.168.1.25LANのローカル/ソースIPアドレス。

41136ソースポート番号です。

61.216.153.106宛先IPアドレス。

123NTP(Network Time Protocol)を表す宛先ポート番号。

送信元ポート番号(41136)は宛先ポート(123またはNTP)に似ていますが、192.168.1.25送信ホスト()で新しい着信接続と既存のデータフローを追跡するために使用されます。

通常、クライアント/ソースアドレス(192.168.1.25)はソースポート番号を自分が選択した一意の番号に設定します。通常、接続を開始したプログラムに基づいています。

この場合、コンピュータはソースポート番号を選択します41136

数字はランダムで、通常1024より大きいです。

別の例を見てください。この場合、宛先ポートはすべてUDP 123(NTP)で、送信元ポート番号は互いに異なり、ランダムです。

Proto Recv-Q Send-Q Local Address           Foreign Address         State   
udp        0      0 192.168.1.25:59141      202.112.29.82:123       ESTABLISHED
udp        0      0 192.168.1.25:53680      115.28.122.198:123      ESTABLISHED
udp        0      0 192.168.1.25:34255      42.51.22.35:123         ESTABLISHED

関連情報