Article di Dominique Cimafranca originale pubblicato sul suo blog a proposito di Ubuntu e Linux in generale
Una procedura semplice ma efficace per valutare la sicurezza del computer è quella di controllare verso quali siti è attiva una connessione, o quali siti si collegano a noi. I Malware più critici di oggi trasformano i computer in zombie per botnet – in genere i computer zombificati si collegano ad un server centrale tramite IRC. Oppure potrebbe essere che si ha inavvertitamente in esecuzione un programma che è in ascolto per richieste da tutta la rete Internet. In ogni caso, è bene controllare queste connessioni.
In TCP/IP, le connessioni avvengono per mezzo di porte. Una porta è un numero che identifica univocamente una connessione. Alcune porte sono ben note e solitamente identificate con un servizio, ad esempio, la porta 80 è utilizzata per le richieste HTTP.
Per vedere quali porte sono aperte, cioè, le connessioni aperte verso il proprio computer, utilizzare il comando netstat -a .
L’output sarà lungo, ma in questo momento siamo interessati solo alla sezione superiore. Un esempio dal mio computer:
Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:ipp *:* LISTEN tcp 0 0 aspire.local:49132 tc-in-f19.google.co:www TIME_WAIT tcp 0 0 aspire.local:60227 tx-in-f103.google.c:www ESTABLISHED udp 0 0 aspire.local:33954 58.69.254.67:domain ESTABLISHED udp 0 0 *:bootpc *:* udp 0 0 aspire.local:42088 58.69.254.68:domain ESTABLISHED udp 0 0 *:mdns *:* udp 0 0 *:38142 *:* |
Cosa vuol dire questo output ? Che il mio computer è connesso ai server Web (le voci :www) e sta facendo richieste DNS (:domain). Queste sono le voci che sono più semplici da capire. Ma che dire delle altre?
:ipp è la porta utilizzata dal demone di stampa.
:mDNS è utilizzato per Multicast DNS locali.
:bootpc è per le richieste del client DHCP.
Queste sono porte su cui una installazione di default di Ubuntu è in ascolto. La :Ipp è aperta da cupsd, mentre :mDNS e :bootpc da avahi .
Ma che dire di quella porta aperta 38142? Come mai non è identificata? Puoi controllarla eseguendo un
sudo lsof -i :38142
Vedrai che anche questa è di proprietà del demone Avahi. Ma cosa è Avahi ?
Avahi è un sistema che facilita l’individuazione dei servizi su una rete locale. Questo significa che è possibile collegare il vostro portatile o un computer in una rete e istantaneamente essere in grado di vedere altre persone e chattare con loro, trovare le stampanti o trovare i file e directory condivise in rete. Questo tipo di tecnologia si può trovare in Apple MacOS X (Chiamata Rendezvous, Bonjour e talvolta Zeroconf) ed è molto conveniente. Avahi si basa principalmente sulla realizzazione di flexmdns mDNS fatta da Lennart Poettering per Linux che è stata interrotta a favore di Avahi.
Quindi, in una installazione di default di Ubuntu, si dovrebbero avere aperte le solo porte dal demone di stampa e Avahi. Altri collegamenti usuali sono per HTTP e DNS. Qualsiasi altra cosa di cui non si è certi è sospetta e bisognerebbe guardarci
Popular Posts:
- None Found
Thank you for make it simple and clear
>The output will be lengthy, but we’re really only interested in the top section.
So, if you are not interested in Unix socket connections, why you are not using the option to hide them in the output?
It is very simple:
-t -> TCP
-u -> UDP
-w -> RAW
-x -> Unix socket
-a -> waiting connections are also shown
So, in this case you can use simply
netstat -tuwa
We’ll you could filter the list with:
netstat -at (only show tcp connections)
netstat -au (only show udp connections
You can also see the pid to which the socket belongs with
netstat -atp (for tcp)
netstat -aup (for udp)
And you can disable translation (for ip addr and ports – so mdns should show up as udp/53)
netstat -aunp (for udp)
netstat -atnp (for tcp)
Regards
Thanks for that, had :17500 on mine? Turned out to be Dropbox.
very simple and clear post