У меня есть маршрутизатор Linksys EA6400. Сегодня я заметил в файле журнала некоторую активность с нескольких IP-адресов на 2 открытых портах: 54409 и 16808, и я не знаю, что там происходит.

Я не открывал никаких портов вручную и не делал никаких конкретных изменений в настройках роутера.
Все, что я использую, - это внешний жесткий диск, подключенный к маршрутизатору, доступ к которому можно получить через Интернет по FTP.

Кто-нибудь имеет представление, почему эти порты открыты и какой сервис использует их по умолчанию? Или как я могу это выяснить?

Результат сканирования моего ip на порты:

ПОРТ ГОСУДАРСТВЕННАЯ СЛУЖБА
21/ TCP открытый FTP
16808/ tcp открыть неизвестно
51000/ ткр закрыт неизвестно
54409/ tcp открыть неизвестно

2 ответа2

1

Поскольку ваш маршрутизатор выполняет Stateful Packet Inspection, существует три возможных причины увидеть "открытые" порты с потоками трафика, выходящими из маршрутизатора:

  1. Устройство настроено в демилитаризованной зоне, и весь незапрошенный трафик направляется на него,
  2. Вы создали правило переадресации портов, которое позволяет направлять этот порт в привязку к конкретной системе для незапрошенного трафика,
  3. Или порт, который вы видите, на самом деле не открыт, а используется существующим соединением, запрошенным из локальной сети. Порт не будет принимать незапрошенный трафик, но доступен для попыток атаки с использованием TCP-соединения (хотя в наши дни это очень сложно осуществить).

Если ни одно из условий 1 или 2 не выполняется, то соединение было установлено изнутри вашей локальной сети.

Поскольку у вас есть ограниченная информация журнала и (в основном) неуправляемое сетевое оборудование, самый простой способ определить клиента и процесс локальной сети для домашней сети - просто посетить каждый терминал и определить, подключен ли терминал к удаленному серверу на этот порт.

Вы можете сделать это из экземпляра PowerShell с повышенными правами с помощью команды:

netstat -abno | findstr <portnum>

или если известен удаленный IP:

netstat -abno | findstr <RemoteIPAddr>

Оттуда, как только вы нашли клиентское соединение, вы можете записать идентификатор процесса, который затем можно найти в Process Explorer или Task Manager, чтобы определить исполняемый файл, вызывающий соединение.

1

Если у вас есть компьютер, подключенный во внутренней локальной сети, вы можете использовать его NIC в случайном режиме для захвата пакетов, поступающих с этих портов или идущих к ним. Вы можете использовать tcpdump или Wireshark для этого. Результаты этого анализа должны показать вам, что в вашей внутренней сети использует это соединение, а затем продолжить расследование.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .