Nmap est un excellent scanner de ports, mais vous voulez parfois quelque chose de plus autoritaire. Vous pouvez demander au noyau quels processus ont quels ports s'ouvrent en utilisant l' netstat
utilitaire:
moi @ monhôte: ~ $ sudo netstat -tlnp
Connexions Internet actives (serveurs uniquement)
Adresse locale Proto Recv-Q Send-Q Adresse étrangère Adresse PID / nom du programme
tcp 0 0 127.0.0.1:53 0.0.0.0:* ÉCOUTER 1004 / dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* ÉCOUTE 380 / sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* ÉCOUTE 822 / cupsd
tcp6 0 0 ::: 22 ::: * LISTEN 380 / sshd
tcp6 0 0 :: 1: 631 ::: * ECOUTER 822 / cupsd
Les options que j'ai données sont:
-t
TCP seulement
-l
Ports d'écoute uniquement
-n
Ne cherchez pas les noms de services et d'hôtes, mais affichez simplement des chiffres
-p
Afficher les informations sur le processus (nécessite le privilège root)
Dans ce cas, nous pouvons voir qu'il sshd
écoute sur n'importe quel 0.0.0.0
port 22 d' interface ( ) et cupsd
écoute sur le 127.0.0.1
port 631 de loopback ( ). Votre sortie peut indiquer que telnetd
l'adresse locale de est définie 192.168.1.1:23
, ce qui signifie qu'elle ne répondra pas aux connexions de l'adaptateur de bouclage. (par exemple, vous ne pouvez pas telnet 127.0.0.1
).
Il existe d'autres outils qui affichent des informations similaires (par exemple lsof
ou /proc
), mais Netstat est le plus largement disponible. Cela fonctionne même sous Windows ( netstat -anb
). BSD netstat est un peu différent: vous devrez utiliser sockstat (1) pour obtenir les informations sur le processus.
Une fois que vous avez l'ID de processus et le nom du programme, vous pouvez rechercher le processus et le supprimer si vous souhaitez fermer le port. Pour un contrôle plus précis, vous pouvez utiliser un pare-feu (iptables sous Linux) pour limiter l’accès à certaines adresses seulement. Vous devrez peut-être désactiver un démarrage de service. Si le PID est "-" sous Linux, il s’agit probablement d’un processus noyau (il s’agit par exemple de NFS), alors bonne chance pour savoir de quoi il s’agit.
Remarque: j'ai dit "faisant autorité" car vous n'êtes pas gêné par les conditions du réseau et les pare-feu. Si vous faites confiance à votre ordinateur, c'est génial. Toutefois, si vous pensez que vous avez été piraté, vous ne pourrez peut-être pas faire confiance aux outils de votre ordinateur. Remplacer les utilitaires standard (et parfois même les appels système) par des utilitaires masquant certains processus ou ports (ou rootkits) est une pratique courante chez les attaquants. Votre meilleur pari à ce stade est de faire une copie légale de votre disque et de la restaurer à partir d’une sauvegarde; utilisez ensuite la copie pour déterminer la façon dont ils sont entrés et fermez-la.
localhost
accède à l'lo
interface (bouclage). l'adresse IP est accesing votre interface réelle, probablementeth0
ouwlan0
ou somesuch.