Плавающий открытый порт 0

GNU/Linux, UNIX, Open Source → *BSD и другие системы

OlegL написал 5 августа 2007 года в 18:50 (1473 просмотра) Ведет себя как мужчина; открыл 14 тем в форуме, оставил 61 комментарий на сайте.

Недавно решил посканироваться:

#nmap -sU -sS -p 1-65535 localhost

Not shown: 131061 closed ports

PORT STATE SERVICE

22/tcp open ssh

25/tcp open smtp

37/tcp open time

80/tcp open http

443/tcp open https

587/tcp open submission

37/udp open time

512/udp open|filtered biff

42498/udp open unknown

Смотрю на последнюю строку и не понимаю. А ну ка ещё раз… Всё то же, но в последней строке порт другой. Ещё раз. И опять другой. А ну-ка

#netstat -l

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State

tcp 0 0 *:time : LISTEN

tcp 0 0 *:submission : LISTEN

tcp 0 0 *:http : LISTEN

tcp 0 0 *:smtp : LISTEN

tcp 0 0 *:https : LISTEN

tcp6 0 0 *:ssh : LISTEN

udp 0 0 *:biff :

udp 0 0 *:time :

raw 0 0 *:tcp : 7

raw 0 0 *:udp : 7

Active UNIX domain sockets (only servers)

Proto RefCnt Flags Type State I-Node Path

unix 2 [ ACC ] STREAM LISTENING 189958 /tmp/mysql.sock

unix 2 [ ACC ] STREAM LISTENING 13161 /var/run/dbus/system_bus_socket

unix 2 [ ACC ] STREAM LISTENING 16746 /dev/gpmctl

unix 2 [ ACC ] STREAM LISTENING 13190 @/var/run/hald/dbus-m8FXS6zrE5

unix 2 [ ACC ] STREAM LISTENING 13130 /var/run/acpid.socket

unix 2 [ ACC ] STREAM LISTENING 43689 /var/run/clamav-milter/clamd.sock

unix 2 [ ACC ] STREAM LISTENING 13187 @/var/run/hald/dbus-KDYQNINkpM

Что это за raw-соединения? Простите за невежество, с троянчиком, или всё-таки система их использует?

Ответить Цитировать

OlegL 19:01, 5 августа 2007

C raw-соединениями до меня дошло, что это portsentry. Проверил — действительно так. А вот с «плавающим» портом udp, пока не понял.

Ответить Цитировать

Genie 19:39, 5 августа 2007

netstat -anp

Ответить Цитировать

OlegL 20:33, 5 августа 2007

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 2943/inetd

tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 3002/sendmail: acce

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 22514/httpd

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 3002/sendmail: acce

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 22514/httpd

tcp6 0 0 :::22 :::* LISTEN 2951/sshd

tcp6 0 0 ::ffff:XXX.XXX.XXX.XXX:22 ::ffff:XXX.XXX.XXX.XXX:4251 ESTABLISHED12559/0

udp 0 0 0.0.0.0:512 0.0.0.0:* 2943/inetd

udp 0 0 0.0.0.0:37 0.0.0.0:* 2943/inetd

raw 0 0 0.0.0.0:6 0.0.0.0:* 7 11774/portsentry

raw 0 0 0.0.0.0:17 0.0.0.0:* 7 11777/portsentry

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags Type State I-Node PID/Program name Path

unix 2 [ ACC ] STREAM LISTENING 234661 11741/mysqld /tmp/mysql.sock

unix 2 [ ACC ] STREAM LISTENING 13161 2967/dbus-daemon /var/run/dbus/system_bus_socket

unix 2 [ ACC ] STREAM LISTENING 16746 3064/gpm /dev/gpmctl

unix 2 [ ] DGRAM 2306 1139/udevd @/org/kernel/udev/udevd

unix 2 [ ] DGRAM 13198 2972/hald @/org/freedesktop/hal/udev_event

unix 2 [ ACC ] STREAM LISTENING 13190 2972/hald @/var/run/hald/dbus-m8FXS6zrE5

unix 2 [ ACC ] STREAM LISTENING 13130 2959/acpid /var/run/acpid.socket

unix 2 [ ACC ] STREAM LISTENING 43689 11373/clamd /var/run/clamav-milter/clamd.sock

unix 2 [ ACC ] STREAM LISTENING 13187 2972/hald @/var/run/hald/dbus-KDYQNINkpM

unix 8 [ ] DGRAM 12278 2382/syslogd /dev/log

unix 3 [ ] STREAM CONNECTED 240475 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 240474 22616/httpd

unix 3 [ ] STREAM CONNECTED 240264 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 240263 22517/httpd

unix 3 [ ] STREAM CONNECTED 240202 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 240201 22537/httpd

unix 3 [ ] STREAM CONNECTED 239959 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239958 22516/httpd

unix 3 [ ] STREAM CONNECTED 239890 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239889 22615/httpd

unix 3 [ ] STREAM CONNECTED 239743 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239742 22518/httpd

unix 3 [ ] STREAM CONNECTED 239715 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239714 22515/httpd

unix 3 [ ] STREAM CONNECTED 239698 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239697 22519/httpd

unix 3 [ ] STREAM CONNECTED 239586 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239585 22538/httpd

unix 3 [ ] STREAM CONNECTED 239577 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 239576 22532/httpd

unix 3 [ ] STREAM CONNECTED 234680 11741/mysqld /tmp/mysql.sock

unix 3 [ ] STREAM CONNECTED 234679 11757/snort

unix 2 [ ] DGRAM 234671 11757/snort

unix 2 [ ] STREAM CONNECTED 119338 2959/acpid /var/run/acpid.socket

unix 2 [ ] DGRAM 43676 11373/clamd

unix 2 [ ] DGRAM 14539 3064/gpm

unix 2 [ ] DGRAM 14332 3005/clientmqueue

unix 2 [ ] DGRAM 14324 3002/sendmail: acce

unix 3 [ ] STREAM CONNECTED 14251 2959/acpid /var/run/acpid.socket

unix 3 [ ] STREAM CONNECTED 14248 2982/acpid.socket

unix 3 [ ] STREAM CONNECTED 14243 2972/hald @/var/run/hald/dbus-KDYQNINkpM

unix 3 [ ] STREAM CONNECTED 14241 2983/hda (every 2 s

unix 3 [ ] STREAM CONNECTED 14240 2967/dbus-daemon /var/run/dbus/system_bus_socket

unix 3 [ ] STREAM CONNECTED 14239 2983/hda (every 2 s

unix 3 [ ] STREAM CONNECTED 14242 2972/hald @/var/run/hald/dbus-KDYQNINkpM

unix 3 [ ] STREAM CONNECTED 14238 2982/acpid.socket

unix 3 [ ] STREAM CONNECTED 13193 2972/hald @/var/run/hald/dbus-m8FXS6zrE5

unix 3 [ ] STREAM CONNECTED 13192 2973/hald-runner

unix 3 [ ] STREAM CONNECTED 13189 2967/dbus-daemon /var/run/dbus/system_bus_socket

unix 3 [ ] STREAM CONNECTED 13188 2972/hald

unix 3 [ ] STREAM CONNECTED 13164 2967/dbus-daemon

unix 3 [ ] STREAM CONNECTED 13163 2967/dbus-daemon

unix 2 [ ] DGRAM 12301 2386/klogd

Ответить Цитировать

Genie 10:32, 6 августа 2007

raw 0 0 0.0.0.0:6 0.0.0.0:* 7 11774/portsentry
raw 0 0 0.0.0.0:17 0.0.0.0:* 7 11777/portsentry

less /etc/protocols

Ответить Цитировать

Genie 10:36, 6 августа 2007

собственно. то же самое и есть. portsentry, получая пакеты, по этим «сокетам», открывает случайный tcp/udp порт. видя, что на него приходит коннект, регистрирует атаку. более детально механизм описан в документации portsentry

Ответить Цитировать

OlegL 14:14, 6 августа 2007

Спасибо большое за консультацию. Теперь успокоился.

Ответить Цитировать

Последние комментарии

OlegL, 17 декабря в 15:00 → Перекличка 21
REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1

ecobeing.ru

Экология и вегетарианство на благо всем живым существам Планеты.