Nmap एक शानदार पोर्ट स्कैनर है, लेकिन कभी-कभी आप कुछ अधिक आधिकारिक चाहते हैं। आप कर्नेल से पूछ सकते हैं कि netstat
उपयोगिता का उपयोग करके कौन सी प्रक्रियाएं खुली हैं :
me @ myhost: ~ $ sudo netstat -tlnp
सक्रिय इंटरनेट कनेक्शन (केवल सर्वर)
प्रोटो रिकव-क्यू सेंड-क्यू लोकल एड्रेस फॉरेन एड्रेस स्टेट पीआईडी / प्रोग्राम नाम
tcp 0 0 127.0.0.1.1.0 0.0.0.0:* LISTEN 1004 / dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 380 / sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* लिस्टेन 822 / कपड
tcp6 0 0 ::: 22 ::: * LISTEN 380 / sshd
tcp6 0 0 :: 1: 631 ::: * लिस्टेन 822 / कप
मैंने जो विकल्प दिए हैं, वे हैं:
-t
केवल टीसीपी
-l
केवल बंदरगाहों को सुनकर
-n
सेवा और होस्ट नाम न देखें, बस संख्याएँ प्रदर्शित करें
-p
प्रक्रिया की जानकारी दिखाएं (रूट विशेषाधिकार की आवश्यकता है)
इस मामले में, हम देख सकते हैं कि sshd
किसी भी इंटरफ़ेस ( 0.0.0.0
) पोर्ट 22 cupsd
पर सुन रहा है , और लूपबैक ( 127.0.0.1
) पोर्ट 631 पर सुन रहा है। आपका आउटपुट दिखा सकता है कि telnetd
इसका स्थानीय पता है 192.168.1.1:23
, जिसका अर्थ है कि यह लूपबैक एडाप्टर के कनेक्शन का जवाब नहीं देगा। (जैसे आप नहीं कर सकते हैं telnet 127.0.0.1
)।
ऐसे अन्य उपकरण हैं जो समान जानकारी (जैसे lsof
या /proc
) दिखाएंगे , लेकिन नेटस्टैट सबसे व्यापक रूप से उपलब्ध है। यह विंडोज पर भी काम करता है ( netstat -anb
)। BSD netstat थोड़ा अलग है: आपको प्रक्रिया की जानकारी प्राप्त करने के लिए sockstat (1) का उपयोग करना होगा।
एक बार जब आपके पास प्रक्रिया आईडी और प्रोग्राम का नाम होगा, तो आप पोर्ट को बंद करना चाहते हैं, तो आप इस प्रक्रिया को ढूंढ सकते हैं और इसे मार सकते हैं। केवल दानेदार नियंत्रण के लिए, आप केवल कुछ पतों तक पहुंच को सीमित करने के लिए फ़ायरवॉल (लिनक्स पर iptables) का उपयोग कर सकते हैं। आपको सेवा स्टार्टअप को अक्षम करना पड़ सकता है। यदि पीआईडी लिनक्स पर "-" है, तो यह संभवतः एक कर्नेल प्रक्रिया है (उदाहरण के लिए एनएफएस के साथ यह आम है), इसलिए सौभाग्य यह है कि यह क्या है।
नोट: मैंने "आधिकारिक" कहा क्योंकि आप नेटवर्क की स्थिति और फ़ायरवॉल द्वारा बाधा नहीं बन रहे हैं। यदि आप अपने कंप्यूटर पर भरोसा करते हैं, तो यह बहुत अच्छा है। हालाँकि, यदि आपको संदेह है कि आपको हैक कर लिया गया है, तो हो सकता है कि आप अपने कंप्यूटर के टूल पर भरोसा न कर सकें। मानक उपयोगिताओं (और कभी-कभी यहां तक कि सिस्टम कॉल) को बदलना जो कुछ प्रक्रियाओं या बंदरगाहों (उर्फ रूटकिट्स) को छिपाते हैं, हमलावरों के बीच एक मानक अभ्यास है। इस बिंदु पर आपकी सबसे अच्छी शर्त आपकी डिस्क की एक फोरेंसिक कॉपी बनाना और बैकअप से पुनर्स्थापित करना है; फिर जिस तरह से वे अंदर आए और इसे बंद कर दें, यह निर्धारित करने के लिए प्रतिलिपि का उपयोग करें।
localhost
तक पहुंच रहाlo
है। आईपी पता अपने वास्तविक इंटरफेस में जाकर किया जाता है, शायदeth0
याwlan0
या somesuch।