端口全网监听分析思路
【现场现象与场景】
CIE1:~ # netstat -anp | grep tcp | grep LISTEN | sort
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 10490/rpcbind
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 26667/sshd
tcp 0 0 0.0.0.0:4051 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:4052 0.0.0.0:* LISTEN 10516/rpc.statd
tcp 0 0 0.0.0.0:815 0.0.0.0:* LISTEN 10513/rpc.mountd
tcp 0 0 ::1:6010 :::* LISTEN 9834/1
tcp 0 0 ::1:6011 :::* LISTEN 9834/1
tcp 0 0 ::1:6012 :::* LISTEN 9834/1
tcp 0 0 :::111 :::* LISTEN 10490/rpcbind
tcp 0 0 :::1521 :::* LISTEN 26578/tnslsnr
tcp 0 0 :::2049 :::* LISTEN -
tcp 0 0 :::4051 :::* LISTEN -
CIE1:~ # netstat -anp | grep udp | sort
udp 0 0 0.0.0.0:111 0.0.0.0:* 10490/rpcbind
udp 0 0 0.0.0.0:123 0.0.0.0:* 9542/ntpd
udp 0 0 0.0.0.0:2049 0.0.0.0:* -
udp 0 0 0.0.0.0:4051 0.0.0.0:* -
udp 0 0 0.0.0.0:4052 0.0.0.0:* 10516/rpc.statd
udp 0 0 0.0.0.0:815 0.0.0.0:* 10513/rpc.mountd
udp 0 0 0.0.0.0:913 0.0.0.0:* 10490/rpcbind
udp 0 0 0.0.0.0:940 0.0.0.0:* 10516/rpc.statd
udp 0 0 ::1:123 :::* 9542/ntpd
udp 0 0 ::1:47355 :::* 25748/ora_pmon_i2kd
udp 0 0 ::1:54125 ::1:54125 ESTABLISHED 13973/proton: dmuus
udp 0 0 :::111 :::* 10490/rpcbind
udp 0 0 :::123 :::* 9542/ntpd
udp 0 0 :::2049 :::* -
udp 0 0 :::4051 :::* -
udp 0 0 :::56927 :::* 25797/ora_mmon_i2kd
udp 0 0 :::913 :::* 10490/rpcbind
【分析思路与总结】
后续大家测试端口认证的时候可以参考下面几点来分析:
1、0.0.0.0:端口号和:::端口号,这种才是全网监听
1)查到全网监听,首先要看进程或者服务,如果是rpc和ssh相关的,已经出安全配置资料,就不是问题
2)从结果看不出进程和服务的,根据经验很可能是rpc子服务开的端口,大家可以用rpcinfo命令来查看
2、::1:端口号,这种是非问题,是IPv6的本地监听
3、有些服务CIE安装出的OS是默认关闭的,就没有开通端口。
如果扫描发现有些端口开通了全网监听,要看看这个服务在默认OS安装是不是开启的
4、确实有端口开通了全网监听的,要查看进程和服务看看是否为CIE模块或者OS系统服务,准确定位后提单