疑わしい接続のnetstatログを分析するにはどうすればよいですか?
私はここから質問を見つけました: http://www.activeresponse.org/20-questions-for-an-intrusion-analyst/ しかし、その答えが何かはわかりません。ここに質問があり、疑わしいエントリをすべて見つけるように求められます。
Proto Local Address Foreign Address State
TCP 0.0.0.0:53 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING
TCP 192.168.1.4:53 91.198.117.247:443 CLOSE_WAIT
TCP 192.168.1.4:59393 74.125.224.39:443 ESTABLISHED
TCP 192.168.1.4:59515 208.50.77.89:80 ESTABLISHED
TCP 192.168.1.4:59518 69.171.227.67:443 ESTABLISHED
TCP 192.168.1.4:59522 96.16.53.227:443 ESTABLISHED
TCP 192.168.1.4:59523 96.16.53.227:443 ESTABLISHED
TCP 192.168.1.4:53 208.71.44.30:80 ESTABLISHED
TCP 192.168.1.4:59538 74.125.224.98:80 ESTABLISHED
TCP 192.168.1.4:59539 74.125.224.98:80 ESTABLISHED
これまでのところ、最初の4つのエントリは問題ないはずです。ポート53(DNS)、135(rpc)、445(SMB)、5357(一部のWindowsサービス)そして、DNSサービスはHTTPサービスに接続するため、このエントリは疑わしいはずです。
TCP 192.168.1.4:53 208.71.44.30:80 ESTABLISHED
他に疑わしいエントリがある場合や、重要な何かを見逃した場合、誰かに教えてもらえますか?実際、ポート80(および443)の同じIPアドレスへの複数の接続があることがわかります。正常ですか?
ありがとう。
特にワークステーションの場合は、ポート53でリッスンしているという事実に疑いを抱きます-なぜDNSサーバーを実行しているのですか?あなたが言及したように、ポート53 <-> 80/443からの接続が与えられた場合、それは悪意のある通信がDNS/HTTP/HTTPSトラフィックになりすまそうとしていることを示している可能性があります。
実際のシナリオである場合は、ポート53でリッスンしているプロセスを調べてみてください(netstatコマンドに "-o"オプションを追加します)。
ポート80と443の同じアドレスへの接続は、必ずしも例外ではありません。たとえば、混合コンテンツを含むWebサイトは、HTTP(80)とHTTPS(443)の両方でコンテンツを提供している場合があります。
このコマンドを使用して、TCPポートとそれに関連するサービスを一覧表示できます。
netstat -plnt
Uをtに使用して、udpポートをリストします。クライアントのtcpおよびudpポート53がdnsmasqによって使用されているため、出力は正常であると思います。
tcp 0 0 192.168.122.1:53 LISTEN 10736/dnsmasq
udp 0 0 192.168.122.1:53 10736/dnsmasq
$man dnsmaq
NAME
dnsmasq - A lightweight DHCP and caching DNS server.
...........................
...........................
あなたの場合も同じだと思います。デフォルトでインストールされます。
テストでは、停止するかパージして、出力に表示されるかどうかをもう一度確認できます。
Netstatの出力を見ただけでは非常に難しいので、現在のtcpおよびudp接続の状態が表示されるだけです。
さらに、あなたが故意または無意識のうちにホストしているサービス、およびこれらのtcp接続が単純なtcpであるか、または何らかの可逆性が可能であり、攻撃者にリバースシェルを開くかどうかはわかりません。