Я использую 64- разрядную версию Windows 7 и запускаю команду netstat -b и она выводит данные в текстовый файл. Это 4 колонки «Прото», «Локальный адрес», «Внешний адрес» и «Штат. «Внешний адрес» содержит имя моего компьютера и номер порта. Их как минимум еще 9, просто другой порт на локальном и внешнем адресе.
Например:
Proto Local Address Foreign Address State
TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT
Что это значит? Должен ли я быть обеспокоен?
Во-первых, netstat - очень простой инструмент. Он просто печатает информацию о сетевых подключениях, таблицах маршрутизации, статистике интерфейса, маскарадных подключениях и многоадресном членстве. В основном, просто общая информация о сети. Итак, вы говорите это:
Что это значит? Должен ли я быть обеспокоен?
Ну, буквально это то, что я читаю:
Proto Local Address Foreign Address State
TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT
Буквально, это просто означает, что ваш локальный компьютер с IP-адресом 127.0.0.1 использующий порт 2559 устанавливает TCP-соединение с удаленным компьютером с именем Someuser-PC порт 54735 и состояние TIME_WAIT что в основном означает, что соединение теперь закрыто, но соединение поддерживается на вашем компьютере только на случай, если какие-либо паразитные / задерживающие пакеты ожидают / нуждаются в этом соединении.
Теперь, почему это соединение было сделано в какой-то момент? Неясно. Порт локального адреса 2559 похоже, подключен к проекту сервера терминалов Linux (LSTP), который описывается как:
Проект Linux Terminal Server добавляет поддержку тонких клиентов для серверов Linux. LTSP - это гибкое и экономически эффективное решение, которое позволяет школам, предприятиям и организациям по всему миру легко устанавливать и развертывать тонких клиентов.
Порт внешнего адреса 54735 находится в широком диапазоне портов, которые обычно считаются «динамическими» или «частными», но в основном это означает:«Нет стандартных приложений, которые резервируют / запрашивают этот порт известным способом, поэтому эти порты используются случайным образом. / идиосинкразические / специфичные для приложения соединения. ”
У меня нет глубокого опыта работы с LSTP, и я не знаю - или не понимаю - специфики вашей установки, но на первый взгляд это похоже на действительное и законное соединение. Многие протоколы используют известный порт для клиента, а затем случайный «частный» порт на конечном сервере. Так что это внешне кажется мне нормальным поведением. Даже если netstat отображает десятки записей, потому что, честно говоря, на ПК с любой ОС, выполнение такой простой команды netstat как эта, - без фильтрации - просто выведет кучу записей на экран; сетевой трафик может быть шумным в хороший день и в чистой системе.
Теперь, если вы говорите, что Someuser-PC - это ваш локальный ПК, и к нему есть соединения с обратной связью localhost на 127.0.0.1 , то все это может быть связано с тем, как работает какое-то приложение на вашем локальном компьютере. Это означает, что все, что вы знаете, работает на некотором программном обеспечении, которое облегчает эмуляцию терминала LSTP, а основной код использует TCP-пакеты для связи с родительским «серверным» приложением.
Но, честно говоря, с минимальной информацией, которую дает ваш вопрос, трудно сказать иначе, плохо это или хорошо. Моя интуиция говорит мне, что на вашем компьютере установлено какое-то программное обеспечение, которое просто - и не злонамеренно - использует эмуляцию терминала LSTP для своей работы. Не больше, не меньше.
Примечание. Этот ответ является дополнением к ответу JakeGould. Он совершенно прав; Я также отвечаю, потому что я чувствовал, что мне нужно добавить еще некоторые детали. Я позволил этому ответу поговорить с TCP-портом 2559.
Поскольку вы подключены к 127.0.0.1, это означает, что программа на вашем ПК обменивается данными с программой (возможно, второй программой) на вашем ПК.
Для активных соединений есть вероятность, что у вас есть соответствующая запись. Итак, в дополнение к:
Proto Local Address Foreign Address State
TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED
вас также может быть:
Proto Local Address Foreign Address State
TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED
Скорее всего, это не так для статуса TIME_WAIT. Я думаю, что искал бы это, если бы я стремился собрать больше информации как часть процесса устранения неполадок.
Proto Local Address Foreign Address State
TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT
Вы также можете иметь:
Proto Local Address Foreign Address State
TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT
Я бы тоже избавился от системных имен. Обычно я использую netstat -nab (в современных версиях MicrosoftWindows), потому что это быстрее и понятнее. Без n после дефиса netstat выполняет обратный поиск имен, поэтому 127.0.0.1 выглядит как Someuser-PC. Это медленнее и менее понятно, потому что фактические IP-пакеты действительно используют числовой IP-адрес, а не текстовые имена. (Если я хочу узнать имя 127.0.0.1, я могу выполнить обратный поиск имен вручную.) Если бы был злонамеренный злоумышленник, я бы не хотел, чтобы прямой просмотр GoodGuy указывал на 192.0.2.10, а затем обратный поиск 198.51.100.50 для разрешения на GoodGuy, а затем я вручную ищу GoodGuy и начинаю неправильно обвинять 192.0 .2.10, когда адрес, который действительно атакует меня, равен 198.51.100.50. Я избегаю этой ошибки, придерживаясь чисел, что в любом случае быстрее.
Вам может потребоваться запустить это как администратор, чтобы получить наилучшее доступное имя процесса. (Я имею в виду не просто учетную запись в группе администраторов; если у вас есть UAC, вам может потребоваться запрос администратора, чтобы обойти ограничения UAC.)
Порт 54735, вероятно, является исходящим соединением, поскольку он находится в эфемерном диапазоне портов IANA. В основном это означает, что номера зарезервированы / предназначены для исходящих соединений. (Диапазон настраивается, поэтому я основываю этот комментарий на значениях по умолчанию. Термин "эфемерный" порт - это стандартный термин, который можно использовать для поиска более подробной информации.)
Как правило, в целях безопасности TCP-соединения имеют значение, если они УСТАНОВЛЕНЫ или СЛУШАЛИ (потому что СЛУШАТЬ может превратиться в УСТАНОВЛЕННОЕ соединение). TIME_WAIT должен исчезнуть сам по себе через некоторое время; Я бы не волновался об этом, если у тебя много. (Иногда веб-серверы генерируют много соединений TIME_WAIT, потому что они создают много соединений и не закрывают их должным образом. Как, десятки или сотни, я считаю.) Случайно, я полагаю, что этот статус указывает на что-то вроде соединения, которое прекратило обмен данными и ожидает, пока удаленный конец подтвердит, что соединение закрыто. Возможно, netstat не показывает связанную программу, потому что программа считает соединение закрытым и перестает обращать внимание на соединение.
Относительно вашего вопроса о том, стоит ли беспокоиться, мой краткий ответ: нет. Это просто означает, что часть вашего компьютера общается с другой частью вашего компьютера. Если программа на 127.0.0.1 вызывает проблемы, то ваша проблема в том, что на вашем компьютере установлена вредоносная программа. Это может быть причиной беспокойства. Однако тот факт, что программа взаимодействует с 127.0.0.1 и с 127.0.0.1, обычно не вызывает беспокойства, поскольку эти соединения обычно не добавляют никаких дополнительных проблем безопасности. Такие сетевые подключения довольно нормальное поведение. Таким образом, ваши 9 подключений TIME_WAIT от / до 127.0.0.1 не являются проблемой.