Quali sono gli indirizzi IP del mio computer è collegato e come li blocco se sono dannosi? [chiuso]

2

Quando eseguo un comando netstat vedo diversi indirizzi IP che hanno la connessione al mio pc e non sono a cosa servono. Questi sono gli ip.

 TCP    192.168.1.20:1042      fa-in-f125:5222        HERGESTELLT
 TCP    192.168.1.20:1238      we-in-f100:http        HERGESTELLT
 TCP    192.168.1.20:1281      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1282      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1283      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1284      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1285      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1289      bru01m01-in-f138:https  HERGESTELLT
 TCP    192.168.1.20:1294      bru01m01-in-f101:http  HERGESTELLT
 TCP    192.168.1.20:1295      bru01m01-in-f138:http  HERGESTELLT
 TCP    192.168.1.20:1296      bru01m01-in-f101:http  HERGESTELLT
 TCP    192.168.1.20:1297      ww-in-f132:http        HERGESTELLT    
 TCP    192.168.1.20:1298      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1299      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1300      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1301      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1302      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1303      fra07s07-in-f113:http  HERGESTELLT    
 TCP    192.168.1.20:1304      bru01m01-in-f191:http  HERGESTELLT
 TCP    192.168.1.20:1310      mil01s16-in-f18:http   HERGESTELLT   
 TCP    192.168.1.20:1316      mil01s16-in-f18:http   HERGESTELLT    
 TCP    192.168.1.20:1318      193.247.193.85:https   HERGESTELLT    
 TCP    192.168.1.20:1334      server-216-137-61-177:http  HERGEST    
 TCP    192.168.1.20:1381      46.105.131.100:http    HERGESTELLT    
 TCP    192.168.1.20:1410      87.252.216.36:https    HERGESTELLT    
 TCP    192.168.1.20:1412      87.252.210.40:http     HERGESTELLT    
 TCP    192.168.1.20:1425      mil01s16-in-f18:http   HERGESTELLT

Come faccio a sapere se sono malevoli, ad esempio una connessione aperta da un troyaner. E come li blocco?

    
posta Luke 27.02.2012 - 19:22
fonte

2 risposte

3

Capire netstat e ottenere informazioni utili

HERGESTELLT significa che c'è una connessione. Le porte che sono state aperte dai programmi server sul tuo computer sono invece in stato LISTENING (ABHÖREN). Guardando le porte di destinazione, questo è probabile traffico web ad eccezione del primo.

Per ottenere un output più utile, è necessario utilizzare alcuni parametri per netstat come spiegato in documentazione :?

netstat -a -n -o
  • -a includerà le porte nello stato LISTENING,
  • -n mostrerà i veri indirizzi IP invece della ricerca inversa DNS
  • -o win include l'id del processo (usa il Task Manager di Windows per cercarlo).

Tieni presente che, nel caso in cui il tuo computer sia stato infettato, non puoi fidarti dell'output di netstat dato che il programma dannoso potrebbe averlo manipolato.

Proprietari di indirizzi IP

Per i casi in cui l'indirizzo IP è visibile nel registro, i proprietari sono i seguenti:

  • 193.247.193.85: Google
  • 46.105.131.100: Astro Empires è un gioco online multigiocatore di massa
  • 87.252.216.36: giochi online correlati al gioco d'azzardo
  • 87.252.210.40: sito web del casinò

Tutti sembrano normali siti web, probabilmente non correlati ai trojan.

    
risposta data 27.02.2012 - 20:30
fonte
1

Diamo un'occhiata a una linea:

TCP 192.168.1.20:1381 46.105.131.100:http HERGESTELLT

Non parlo tedesco, ma ricerca su Google; e facendo corrispondere con il mio output netstat credo che HERGESTELLT significhi ESTABLISHED. Ciò significa che l'IP locale (192.168.1.20) sulla porta 1381 ha stabilito una connessione TCP con (46.105.131.100) tramite la porta in genere utilizzata per http (porta 80). Esecuzione di un whois sull'indirizzo:

### whois 46.105.131.100        
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '46.105.131.96 - 46.105.131.111'

inetnum:         46.105.131.96 - 46.105.131.111
netname:         Cybertopia
descr:           Astro Empires website
country:         PT
org:             ORG-OL44-RIPE
admin-c:         OTC6-RIPE
tech-c:          OTC6-RIPE
status:          ASSIGNED PA
mnt-by:          OVH-MNT
source:          RIPE # Filtered
[...]

che porta a un sito Web che tu (o un altro utente) potresti legittimamente stabilire una connessione con. O forse no.

Nota, ogni volta che visiti un sito web devi stabilire una connessione con esso, quindi dovresti avere voci benigne come:

tcp        0      0 192.168.1.120:51127 stackoverflow.com:http   ESTABLISHED

Ora puoi notare diverse voci come bru01m01-in-f82:http . Sono abbastanza inutili, dal momento che hai solo una parte incompleta del nome host ( bru01m01-in-f82 ). Quello che vuoi veramente è eseguire netstat -n (non risolvere i nomi) o netstat --wide (non troncare i nomi degli host risolti), quindi un nome host di iad04s01-in-f83.1e100.net (eseguito da google) non viene troncato in un% co_de privo di significato %. (Queste opzioni della riga di comando possono variare leggermente a seconda della particolare versione di iad04s01-in-f18.1 ; ho fornito opzioni della versione linux di netstat fornita con net-tools. Il comando windows netstat è probabilmente leggermente diverso.)

    
risposta data 27.02.2012 - 20:31
fonte

Leggi altre domande sui tag