Неизвестные открытые порты

max_fox	# 7 лет, 11 месяцев назад (отредактировано 7 лет, 11 месяцев назад)
Темы: 1 Сообщения: 18 Участник с: 12 октября 2014	Здравствуйте! На ноутбуке с Арчем обнаружил открытые порты неизвестного происхождения: `Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 20:49 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.00042s latency). Other addresses for localhost (not scanned): 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 65534 closed ports PORT STATE SERVICE 5355/tcp open unknown 44175/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 2.41 seconds` До этого после загрузки системы `PORT STATE SERVICE 5355/tcp open unknown 19532/tcp open unknown` На соседнем ноуте тоже Арч, только совсем свежеустановленный, ничего подобного не обнаружено. Попробовал netstat: `Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 364/systemd-resolve tcp6 0 0 :::5355 :::* LISTEN 364/systemd-resolve udp 0 0 0.0.0.0:57197 0.0.0.0:* 280/systemd-timesyn udp 0 0 0.0.0.0:68 0.0.0.0:* 310/dhcpcd udp 0 0 0.0.0.0:518 0.0.0.0:* 1/init udp 0 0 0.0.0.0:5355 0.0.0.0:* 364/systemd-resolve udp6 0 0 :::5355 :::* 364/systemd-resolve` Получается, что порт 5355 слушает некий systemd-resolve, о котором я никакой инфы найти не смог, второй открытый порт постоянно меняется: $ nmap localhost/32 -p 10000-65535 Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:11 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.00041s latency). Other addresses for localhost (not scanned): 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 55535 closed ports PORT STATE SERVICE 42561/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 2.04 seconds Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:11 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.00052s latency). Other addresses for localhost (not scanned): 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 55534 closed ports PORT STATE SERVICE 32894/tcp open unknown 50916/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:12 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.00042s latency). Other addresses for localhost (not scanned): 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 55535 closed ports PORT STATE SERVICE 49814/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:12 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.00043s latency). Other addresses for localhost (not scanned): 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 55533 closed ports PORT STATE SERVICE 41713/tcp open unknown 47878/tcp open unknown 57185/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 2.03 seconds Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:12 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.00042s latency). Other addresses for localhost (not scanned): 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 55535 closed ports PORT STATE SERVICE 57864/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 2.04 seconds Подкажите, пожалуйста, как определить, кто слушает порты?

# 7 лет, 11 месяцев назад (отредактировано 7 лет, 11 месяцев назад)

Сообщения: 18

Участник с: 12 октября 2014

Здравствуйте!

На ноутбуке с Арчем обнаружил открытые порты неизвестного происхождения:

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 20:49 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00042s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 65534 closed ports
PORT      STATE SERVICE
5355/tcp  open  unknown
44175/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.41 seconds

До этого после загрузки системы

PORT      STATE SERVICE
5355/tcp  open  unknown
19532/tcp open  unknown

На соседнем ноуте тоже Арч, только совсем свежеустановленный, ничего подобного не обнаружено.

Попробовал netstat:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      364/systemd-resolve
tcp6       0      0 :::5355                 :::*                    LISTEN      364/systemd-resolve
udp        0      0 0.0.0.0:57197           0.0.0.0:*                           280/systemd-timesyn
udp        0      0 0.0.0.0:68              0.0.0.0:*                           310/dhcpcd
udp        0      0 0.0.0.0:518             0.0.0.0:*                           1/init
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           364/systemd-resolve
udp6       0      0 :::5355                 :::*                                364/systemd-resolve

Получается, что порт 5355 слушает некий systemd-resolve, о котором я никакой инфы найти не смог, второй открытый порт постоянно меняется:


$ nmap localhost/32 -p 10000-65535
Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:11 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00041s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 55535 closed ports
PORT      STATE SERVICE
42561/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.04 seconds

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:11 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00052s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 55534 closed ports
PORT      STATE SERVICE
32894/tcp open  unknown
50916/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:12 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00042s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 55535 closed ports
PORT      STATE SERVICE
49814/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:12 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00043s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 55533 closed ports
PORT      STATE SERVICE
41713/tcp open  unknown
47878/tcp open  unknown
57185/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.03 seconds

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-12 21:12 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00042s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 55535 closed ports
PORT      STATE SERVICE
57864/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.04 seconds

Подкажите, пожалуйста, как определить, кто слушает порты?

indeviral	# 7 лет, 11 месяцев назад
Темы: 38 Сообщения: 3196 Участник с: 10 августа 2013	5355 это LLMNR Ошибки в тексте-неповторимый стиль автора©

max_fox	# 7 лет, 11 месяцев назад (отредактировано 7 лет, 11 месяцев назад)
Темы: 1 Сообщения: 18 Участник с: 12 октября 2014	ind.indeviral А у Вас этот порт открыт? Просто не совсем ясно, откуда и зачем на практически чистой системе открытые порты. Я так понял, что systemd-resolved, слушающий 5355 - это реализация LLMNR в systemd-networkd. Но рядом стоит другой ноут, на который я установил Арч пару недель назад и на нем нет ни одного открытого порта. И это не объясняет, почему постоянно открываются и закрываются другие порты. Хотелось бы понять, чисто из любопытства. Я на Арч недавно перешел и очень нравится, что в системе нет ничего лишнего. Поэтому вдвойне интересно понять, что же происходит с портами и почему только на одной машине..

max_fox

# 7 лет, 11 месяцев назад (отредактировано 7 лет, 11 месяцев назад)

Темы: 1

Сообщения: 18

Участник с: 12 октября 2014

ind.indeviral А у Вас этот порт открыт? Просто не совсем ясно, откуда и зачем на практически чистой системе открытые порты. Я так понял, что systemd-resolved, слушающий 5355 - это реализация LLMNR в systemd-networkd. Но рядом стоит другой ноут, на который я установил Арч пару недель назад и на нем нет ни одного открытого порта. И это не объясняет, почему постоянно открываются и закрываются другие порты. Хотелось бы понять, чисто из любопытства. Я на Арч недавно перешел и очень нравится, что в системе нет ничего лишнего. Поэтому вдвойне интересно понять, что же происходит с портами и почему только на одной машине..

nafanja	# 7 лет, 11 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	max_fox, ты сеть настраивал. как? Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja	# 7 лет, 11 месяцев назад (отредактировано 7 лет, 11 месяцев назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	тут у тебя обрезанные названия прог systemd-resolved systemd-timesyncd max_fox Получается, что порт 5355 слушает некий systemd-resolve, о котором я никакой инфы найти не смог, а где искал, в газете??? https://www.google.com/search?q=systemd-resolve&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a&channel=rcs Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 7 лет, 11 месяцев назад (отредактировано 7 лет, 11 месяцев назад)

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

тут у тебя обрезанные названия прог
systemd-resolved
systemd-timesyncd

max_fox
Получается, что порт 5355 слушает некий systemd-resolve, о котором я никакой инфы найти не смог,

а где искал, в газете???
https://www.google.com/search?q=systemd-resolve&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a&channel=rcs

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

max_fox	# 7 лет, 11 месяцев назад
Темы: 1 Сообщения: 18 Участник с: 12 октября 2014	nafanja Cеть настраивается dhcpcd. С systemd-resolved вроде все понятно, при остановке systemd-resolved.service порт закрывается. Осталась другая загадка: постоянно открываются и закрываются порты в диапазоне примерно от 32000 до 65535. Судя по распределению номеров (записывал в файл в течении 10 минут), порты выбираются рандомно. Как отследить, кто эти порты открывает - я не знаю. Что характерно - такое происходит только если входить в систему обычным пользователем. Если войти под рутом, то порты не открываются, а просто слушается порт 19532 постоянно. Слушает PID 1, т.е. init. Что это значит - я хз..

max_fox

# 7 лет, 11 месяцев назад

Темы: 1

Сообщения: 18

Участник с: 12 октября 2014

nafanja
Cеть настраивается dhcpcd.
С systemd-resolved вроде все понятно, при остановке systemd-resolved.service порт закрывается.
Осталась другая загадка: постоянно открываются и закрываются порты в диапазоне примерно от 32000 до 65535. Судя по распределению номеров (записывал в файл в течении 10 минут), порты выбираются рандомно. Как отследить, кто эти порты открывает - я не знаю.
Что характерно - такое происходит только если входить в систему обычным пользователем. Если войти под рутом, то порты не открываются, а просто слушается порт 19532 постоянно. Слушает PID 1, т.е. init. Что это значит - я хз..

max_fox	# 7 лет, 11 месяцев назад
Темы: 1 Сообщения: 18 Участник с: 12 октября 2014	В общем, нашел в интернете несколько упоминаний о похожей проблеме, все без какого-либо однозначного ответа. Вероятнее всего, это какой-то баг nmap при сканировании локальной машины. Попробовал сканировать с другого ноута - случайных портов не появляется, но при этом висит 19532. Не знаю, баг или нет, сетевой активности на этом порту нет.

max_fox

# 7 лет, 11 месяцев назад

Темы: 1

Сообщения: 18

Участник с: 12 октября 2014

В общем, нашел в интернете несколько упоминаний о похожей проблеме, все без какого-либо однозначного ответа. Вероятнее всего, это какой-то баг nmap при сканировании локальной машины. Попробовал сканировать с другого ноута - случайных портов не появляется, но при этом висит 19532. Не знаю, баг или нет, сетевой активности на этом порту нет.