私のコンピューターが接続されているこれらのIPアドレスは何ですか?それらが悪意のある場合、どのようにブロックしますか?
Netstatコマンドを実行すると、PCに接続されている複数のIPアドレスが表示され、それらの用途がわかりません。これらはIPです。
TCP 192.168.1.20:1042 fa-in-f125:5222 HERGESTELLT
TCP 192.168.1.20:1238 we-in-f100:http HERGESTELLT
TCP 192.168.1.20:1281 bru01m01-in-f82:http HERGESTELLT
TCP 192.168.1.20:1282 bru01m01-in-f82:http HERGESTELLT
TCP 192.168.1.20:1283 bru01m01-in-f82:http HERGESTELLT
TCP 192.168.1.20:1284 bru01m01-in-f82:http HERGESTELLT
TCP 192.168.1.20:1285 bru01m01-in-f82:http HERGESTELLT
TCP 192.168.1.20:1289 bru01m01-in-f138:https HERGESTELLT
TCP 192.168.1.20:1294 bru01m01-in-f101:http HERGESTELLT
TCP 192.168.1.20:1295 bru01m01-in-f138:http HERGESTELLT
TCP 192.168.1.20:1296 bru01m01-in-f101:http HERGESTELLT
TCP 192.168.1.20:1297 ww-in-f132:http HERGESTELLT
TCP 192.168.1.20:1298 bru01m01-in-f191:http HERGESTELLT
TCP 192.168.1.20:1299 bru01m01-in-f191:http HERGESTELLT
TCP 192.168.1.20:1300 bru01m01-in-f191:http HERGESTELLT
TCP 192.168.1.20:1301 bru01m01-in-f191:http HERGESTELLT
TCP 192.168.1.20:1302 bru01m01-in-f191:http HERGESTELLT
TCP 192.168.1.20:1303 fra07s07-in-f113:http HERGESTELLT
TCP 192.168.1.20:1304 bru01m01-in-f191:http HERGESTELLT
TCP 192.168.1.20:1310 mil01s16-in-f18:http HERGESTELLT
TCP 192.168.1.20:1316 mil01s16-in-f18:http HERGESTELLT
TCP 192.168.1.20:1318 193.247.193.85:https HERGESTELLT
TCP 192.168.1.20:1334 server-216-137-61-177:http HERGEST
TCP 192.168.1.20:1381 46.105.131.100:http HERGESTELLT
TCP 192.168.1.20:1410 87.252.216.36:https HERGESTELLT
TCP 192.168.1.20:1412 87.252.210.40:http HERGESTELLT
TCP 192.168.1.20:1425 mil01s16-in-f18:http HERGESTELLT
トロイの木馬によって開かれた接続など、それらが悪意のあるものかどうかを確認するにはどうすればよいですか。そして、どうすればそれらをブロックできますか?
Netstatの理解と有用な情報の入手
HERGESTELLTは、接続があることを意味します。コンピュータ上のサーバープログラムによって開かれたポートは、代わりにLISTENING(ABHÖREN)状態になります。ターゲットポートを見ると、最初のポートを除いて、これはおそらくWebトラフィックです。
より有用な出力を取得するには、 ドキュメント で説明されているように、netstatのいくつかのパラメーターを使用する必要があります。
netstat -a -n -o
- -aはLISTENING状態のポートを含みます。
- -nは、DNS逆ルックアップの代わりに実際のIPアドレスを表示します。
- -o winはプロセスIDを含めます(Windowsタスクマネージャーを使用して検索します)。
コンピュータが感染した場合、悪意のあるプログラムがnetstatを操作した可能性があるため、netstatの出力を信頼できないことに注意してください。
IPアドレスの所有者
ログにIPアドレスが表示される場合、所有者は次のとおりです。
- 193.247.193.85:Google
- 46.105.131.100:Astro Empiresは大規模マルチプレイヤーオンラインゲームです
- 87.252.216.36:ギャンブル関連のオンラインゲーム
- 87.252.210.40:カジノのウェブサイト
それらはすべて通常のWebサイトのようで、トロイの木馬とは関係がないようです。
行を見てみましょう:
TCP 192.168.1.20:1381 46.105.131.100:http HERGESTELLT
私はドイツ語は話せませんが、グーグル検索です。そして、私のnetstat出力と一致させると、HERGESTELLTはESTABLISHEDを意味すると思います。これは、ポート1381のローカルIP(192.168.1.20)が、http(ポート80)に通常使用されるポート経由で(46.105.131.100)とTCPとの接続を確立したことを意味します。アドレスが与える:
### whois 46.105.131.100
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '46.105.131.96 - 46.105.131.111'
inetnum: 46.105.131.96 - 46.105.131.111
netname: Cybertopia
descr: Astro Empires website
country: PT
org: ORG-OL44-RIPE
admin-c: OTC6-RIPE
tech-c: OTC6-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered
[...]
あなた(または別のユーザー)が正当に接続を確立している可能性のあるウェブサイトにつながります。またはそうでないかもしれません。
注:Webサイトにアクセスするたびに、そのWebサイトとの接続を確立する必要があるため、次のような無害なエントリが必要です。
tcp 0 0 192.168.1.120:51127 stackoverflow.com:http ESTABLISHED
これで、bru01m01-in-f82:httpのようないくつかのエントリを確認できます。ホスト名(bru01m01-in-f82)の不完全な部分しかないため、これらはそのままではほとんど役に立ちません。あなたが本当にやりたいことは、netstat -n(名前を解決しない)またはnetstat --wide(解決されたホスト名を切り捨てない)を実行することです。そのため、ホスト名iad04s01-in-f83.1e100.net(Googleが実行)は意味のないiad04s01-in-f18.1に切り捨てられます。 (これらのコマンドラインオプションは、netstatの特定のバージョンによって多少異なる場合があります。net-toolsに付属するLinuxバージョンのnetstatのオプションを指定しました。Windowsのnetstatコマンドは、わずかに異なる可能性があります。)