Nmap harika bir port tarayıcıdır, ancak bazen daha güvenilir bir şey istersiniz. Çekirdeği, netstat
yardımcı programı kullanarak hangi işlemlerin hangi bağlantı noktalarının açıldığını sorabilirsiniz :
me @ myhost: ~ $ sudo netstat -tlnp
Aktif İnternet bağlantıları (sadece sunucular)
Proto Recv-Q Send-Q Yerel Adres Yabancı Adres Durumu PID / Program adı
tcp 0 0 127.0.0.1:53 0.0.0.0:* LİSTEN 1004 / dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 380 / sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 822 / cupsd
tcp6 0 0 ::: 22 ::: * LISTEN 380 / sshd
tcp6 0 0 :: 1: 631 ::: * LISTEN 822 / cupsd
Verdiğim seçenekler:
-t
Sadece TCP
-l
Sadece dinleme portları
-n
Servis ve ana bilgisayar adlarına bakmayın, yalnızca numaraları görüntüleyin
-p
İşlem bilgilerini göster (kök ayrıcalığı gerektirir)
Bu durumda, bunu görebiliyorum sshd
herhangi arayüzü (dinlemektedir 0.0.0.0
) portu 22 ve cupsd
loopback (dinlediği 127.0.0.1
) bağlantı noktası 631 olduğunu gösterebilir Çıktınız telnetd
yerel bir adresi vardır 192.168.1.1:23
o geri döngü adaptörü üzerindeki bağlantılara cevap vermeyecek, yani (örneğin yapamazsınız telnet 127.0.0.1
).
Benzer bilgileri gösterecek başka araçlar da var (örneğin lsof
veya /proc
), ancak netstat en yaygın olanıdır. Hatta Windows üzerinde çalışıyor ( netstat -anb
). BSD netstat biraz farklıdır: bunun yerine işlem bilgisini almak için sockstat (1) kullanmanız gerekir.
İşlem kimliğine ve program adına sahip olduğunuzda, bağlantı noktasını kapatmak istiyorsanız işlemi bulma ve öldürme hakkında gidebilirsiniz. Daha hassas kontrol için, yalnızca belirli adreslere erişimi sınırlamak için güvenlik duvarı (Linux'ta iptables) kullanabilirsiniz. Bir servis başlatmasını devre dışı bırakmanız gerekebilir. Eğer PID Linux'ta "-" ise, muhtemelen bir çekirdek işlemidir (örneğin NFS'de yaygındır), bu yüzden ne olduğunu bulmada iyi şanslar.
Not: "Yetkili" dedim çünkü ağ koşulları ve güvenlik duvarları tarafından engellenmiyorsunuz. Bilgisayarınıza güveniyorsanız, bu harika. Ancak, saldırıya uğradığınızdan şüpheleniyorsanız, bilgisayarınızdaki araçlara güvenemeyebilirsiniz. Standart yardımcı programları (ve hatta bazen sistem çağrılarını bile) belirli işlemleri veya bağlantı noktalarını gizleyenlerle (aka rootkit'ler) değiştirmek saldırganlar arasında standart bir uygulamadır. Bu noktada en iyi bahis, diskinizin adli bir kopyasını çıkarmak ve yedekten geri yüklemek; sonra kopyalanma şeklini belirlemek ve kapatmak için kullanın.
localhost
erişiyorlo
. IP Adresi gerçek arayüzünüze, muhtemeleneth0
veyawlan0
ya da bir kısma erişiyor.