nieznane otwarte porty / usługi 54409 i 16808

0

Mam router Linksys EA6400. Dzisiaj zauważyłem w pliku dziennika aktywność z wielu adresów IP na 2 otwartych portach: 54409 i 16808 i nie wiem, co się tam dzieje.

Nie otworzyłem ręcznie żadnych portów i nie wprowadziłem żadnych konkretnych zmian w ustawieniach routera.
Używam tylko zewnętrznego dysku twardego, który jest podłączony do routera i można uzyskać do niego dostęp z Internetu przez ftp.

Czy ktoś ma pojęcie, dlaczego te porty są otwarte i jaka usługa korzysta z nich domyślnie? Lub jak mogę się tego dowiedzieć?

Wynik skanowania mojego adresu IP w poszukiwaniu portów:

USŁUGA PORTOWA
21 / tcp otwarte ftp
16808 / tcp otwarte nieznane
51000 / tcp zamknięte nieznane
54409 / tcp otwarte nieznane

networking router port services Divin3
źródło
Prawdopodobnie porty te są używane przez klientów wewnętrznych jako stanowe połączenia przez NAT. oznacza to, że nie są to same porty otwarte, ale porty używane przez istniejące połączenia. Ponadto, jeśli protokołem jest UDP, gdy gniazdo UDP jest otwierane przez NAT, pozostaje ono otwarte przez pewien czas, aby odpowiedzi mogły przejść. UDP jest bezpołączeniowy, więc nie może polegać na stanowej naturze NAT w taki sam sposób, jak TCP.
Frank Thomas
Port przeskanował mój adres IP i porty są stale otwarte. Istnieje wiele adresów IP z całego świata (jak sprawdziłem, niektóre są na czarnej liście) pojawiających się w dzienniku połączeń przychodzących
Divin3
do jakiej usługi wewnętrznej się łączą?
Frank Thomas
dziennik routera nie jest zbyt szczegółowy. Są tylko 3 sekcje: Dziennik przychodzący, Dziennik wychodzący i dziennik DHCP. Wewnątrz dziennika przychodzącego znalazłem wiele adresów IP z tymi dwoma portami. To chciałbym wiedzieć, co się tam dzieje. I dlaczego te porty są otwarte na moim routerze i jaki jest ich cel?
Divin3
cóż, ogólnie, zanotuj zewnętrzne serwery i przejdź do swoich klientów, sprawdzając za pomocą netstat, czy któryś z nich jest podłączony do danego zewnętrznego adresu IP. a następnie sprawdź usługę. EA6400 jest stanowym urządzeniem filtrującym, więc jeśli nie utworzono reguł przekierowania portów, aby umożliwić niechciany port przychodzący, wówczas połączenie w sieci LAN odbiera połączenie. w podwyższonej wersji PowerShell, z którą możesz sprawdzić połączenie netstat -ab | findstr <externalIPAddress>. ten powinien dać Ci PID procesu, który możesz następnie wyszukać w Eksploratorze procesów lub Menedżerze zadań.
Frank Thomas

Odpowiedzi:

1

Ponieważ router wykonuje stanową kontrolę pakietów, istnieją trzy możliwe powody, aby zobaczyć „otwarte” porty z przepływem ruchu wychodzącym z routera:

  1. Masz urządzenie skonfigurowane w strefie DMZ i cały niepożądany ruch jest do niego kierowany,
  2. Utworzono regułę przekierowania portów, która umożliwia kierowanie tego portu do określonego systemu w celu niezamówionego ruchu,
  3. Lub port, który widzisz, nie jest faktycznie otwarty, ale jest używany przez istniejące połączenie zamówione z sieci LAN. Port nie akceptuje niechcianego ruchu, ale jest dostępny dla prób ataku polegającego na przejęciu połączenia TCP (choć obecnie jest to bardzo trudne).

Jeśli żaden warunek 1 lub 2 nie jest spełniony, połączenie zostało nawiązane z sieci LAN.

Ponieważ masz ograniczone informacje w dzienniku i (głównie) niezarządzany sprzęt sieciowy, najłatwiejszym sposobem ustalenia klienta i procesu LAN dla sieci domowej byłoby po prostu odwiedzenie każdego terminala i ustalenie, czy terminal jest podłączony do zdalnego serwera na ten port.

możesz to zrobić z podniesionej instancji PowerShell za pomocą polecenia:

netstat -abno | findstr <portnum>

lub jeśli znany jest zdalny adres IP:

netstat -abno | findstr <RemoteIPAddr>

Stamtąd, po znalezieniu połączenia klienta, możesz zanotować identyfikator procesu, który możesz następnie wyszukać w Eksploratorze procesów lub Menedżerze zadań, aby określić plik wykonywalny powodujący połączenie.

Frank Thomas
źródło
1

Jeśli masz komputer podłączony do wewnętrznej sieci LAN, możesz użyć jego karty sieciowej w trybie rozwiązawczym, aby przechwytywać pakiety przychodzące / wychodzące do tych portów. Aby to zrobić, możesz użyć tcpdump lub Wireshark. Wyniki tej analizy powinny pokazać, co w Twojej sieci wewnętrznej korzysta z tych połączeń, a następnie zbadać dalej.

Tomas Tudja
źródło
Dziękuję za odpowiedź, mam już na to rozwiązanie od Franka Thomasa. Jak tylko będę miał wystarczającą reputację, ocenię tę odpowiedź również jako rozwiązanie alternatywne.
Divin3