¿Qué son estas direcciones IP en las que mi computadora está conectada y cómo puedo bloquearlas si son maliciosas? [cerrado]

2

Cuando ejecuto un comando netstat, veo varias direcciones IP que tienen conexión con mi PC y no sé para qué sirven. Estos son los ip's.

 TCP    192.168.1.20:1042      fa-in-f125:5222        HERGESTELLT
 TCP    192.168.1.20:1238      we-in-f100:http        HERGESTELLT
 TCP    192.168.1.20:1281      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1282      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1283      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1284      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1285      bru01m01-in-f82:http   HERGESTELLT
 TCP    192.168.1.20:1289      bru01m01-in-f138:https  HERGESTELLT
 TCP    192.168.1.20:1294      bru01m01-in-f101:http  HERGESTELLT
 TCP    192.168.1.20:1295      bru01m01-in-f138:http  HERGESTELLT
 TCP    192.168.1.20:1296      bru01m01-in-f101:http  HERGESTELLT
 TCP    192.168.1.20:1297      ww-in-f132:http        HERGESTELLT    
 TCP    192.168.1.20:1298      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1299      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1300      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1301      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1302      bru01m01-in-f191:http  HERGESTELLT    
 TCP    192.168.1.20:1303      fra07s07-in-f113:http  HERGESTELLT    
 TCP    192.168.1.20:1304      bru01m01-in-f191:http  HERGESTELLT
 TCP    192.168.1.20:1310      mil01s16-in-f18:http   HERGESTELLT   
 TCP    192.168.1.20:1316      mil01s16-in-f18:http   HERGESTELLT    
 TCP    192.168.1.20:1318      193.247.193.85:https   HERGESTELLT    
 TCP    192.168.1.20:1334      server-216-137-61-177:http  HERGEST    
 TCP    192.168.1.20:1381      46.105.131.100:http    HERGESTELLT    
 TCP    192.168.1.20:1410      87.252.216.36:https    HERGESTELLT    
 TCP    192.168.1.20:1412      87.252.210.40:http     HERGESTELLT    
 TCP    192.168.1.20:1425      mil01s16-in-f18:http   HERGESTELLT

¿Cómo puedo saber si son maliciosos, por ejemplo, una conexión abierta por un troyano? Y ¿Cómo los bloqueo?

    
pregunta Luke 27.02.2012 - 19:22
fuente

2 respuestas

3

Comprender netstat y obtener información útil

HERGESTELLT significa que hay una conexión. Los puertos que han sido abiertos por los programas del servidor en su computadora están en estado ESCUCHANDO (ABHÖREN) en su lugar. En cuanto a los puertos de destino, es probable que este sea el tráfico web con la excepción del primero.

Para obtener resultados más útiles, necesita usar algunos parámetros para netstat como se explica en documentation :

netstat -a -n -o
  • -a incluirá puertos en el estado ESCUCHANDO,
  • -n mostrará las direcciones IP reales en lugar de la búsqueda inversa del DNS.
  • -o gana incluye el ID de proceso (usa el Administrador de tareas de Windows para buscarlo).

Tenga en cuenta que, en caso de que su computadora se haya infectado, no puede confiar en la salida de netstat ya que el programa malintencionado podría haberla manipulado.

Propietarios de direcciones IP

Para los casos en que la dirección IP está visible en su registro, los propietarios son los siguientes:

  • 193.247.193.85: Google
  • 46.105.131.100: Astro Empires es un juego en línea multijugador masivo
  • 87.252.216.36: juegos en línea relacionados con el juego
  • 87.252.210.40: sitio web del casino

Todos ellos parecen ser sitios web normales, probablemente no relacionados con troyanos.

    
respondido por el Hendrik Brummermann 27.02.2012 - 20:30
fuente
1

Veamos una línea:

TCP 192.168.1.20:1381 46.105.131.100:http HERGESTELLT

No hablo alemán, pero busco en google; y coincidiendo con mi salida de netstat, creo que HERGESTELLT significa ESTABLECIDO. Esto significa que su IP local (192.168.1.20) en el puerto 1381 ha establecido una conexión TCP con (46.105.131.100) a través del puerto que generalmente se usa para http (puerto 80). Ejecutar un whois en la dirección da:

### whois 46.105.131.100        
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '46.105.131.96 - 46.105.131.111'

inetnum:         46.105.131.96 - 46.105.131.111
netname:         Cybertopia
descr:           Astro Empires website
country:         PT
org:             ORG-OL44-RIPE
admin-c:         OTC6-RIPE
tech-c:          OTC6-RIPE
status:          ASSIGNED PA
mnt-by:          OVH-MNT
source:          RIPE # Filtered
[...]

que conduce a un sitio web con el que usted (u otro usuario) puede estar estableciendo una conexión legítimamente. O no pueden.

Tenga en cuenta que cada vez que visite un sitio web, debe establecer una conexión con él, por lo que debería tener entradas benignas como:

tcp        0      0 192.168.1.120:51127 stackoverflow.com:http   ESTABLISHED

Ahora puedes anotar varias entradas como bru01m01-in-f82:http . Estos son bastante inútiles, ya que solo tiene una parte incompleta del nombre de host ( bru01m01-in-f82 ). Lo que realmente desea hacer es ejecutar netstat -n (no resolver nombres) o netstat --wide (no truncar nombres de host resueltos), por lo que un nombre de host de iad04s01-in-f83.1e100.net (ejecutado por google) no se trunca en un% co_de sin sentido %. (Estas opciones de la línea de comandos pueden variar ligeramente dependiendo de su versión particular de iad04s01-in-f18.1 ; proporcioné opciones de la versión de Linux de netstat que viene con las herramientas de red. El comando netstat de windows es ligeramente diferente).

    
respondido por el dr jimbob 27.02.2012 - 20:31
fuente

Lea otras preguntas en las etiquetas