¿Cómo analizar el registro de netstat para conexiones sospechosas?

1

Encontré una pregunta desde aquí: enlace Pero no estoy seguro de cuál es su respuesta. Aquí está la pregunta y me pide que averigüe todas las entradas sospechosas:

Proto Local Address     Foreign Address    State
 TCP  0.0.0.0:53        0.0.0.0:0          LISTENING
 TCP  0.0.0.0:135       0.0.0.0:0          LISTENING
 TCP  0.0.0.0:445       0.0.0.0:0          LISTENING
 TCP  0.0.0.0:5357      0.0.0.0:0          LISTENING
 TCP  192.168.1.4:53    91.198.117.247:443 CLOSE_WAIT
 TCP  192.168.1.4:59393 74.125.224.39:443  ESTABLISHED
 TCP  192.168.1.4:59515 208.50.77.89:80    ESTABLISHED
 TCP  192.168.1.4:59518 69.171.227.67:443  ESTABLISHED
 TCP  192.168.1.4:59522 96.16.53.227:443   ESTABLISHED
 TCP  192.168.1.4:59523 96.16.53.227:443   ESTABLISHED
 TCP  192.168.1.4:53    208.71.44.30:80    ESTABLISHED
 TCP  192.168.1.4:59538 74.125.224.98:80   ESTABLISHED
 TCP  192.168.1.4:59539 74.125.224.98:80   ESTABLISHED

Hasta ahora, he descubierto que las primeras 4 entradas no deberían ser un problema. Puerto 53 (DNS), 135 (rpc), 445 (SMB), 5357 (servicio de algunas ventanas) Y esta entrada debe ser sospechosa ya que el servicio DNS se conecta al servicio HTTP

TCP  192.168.1.4:53    208.71.44.30:80    ESTABLISHED

¿Alguien puede decirme si hay alguna otra entrada sospechosa o si me olvido de algo importante? En realidad, veo que hay varias conexiones a la misma dirección IP en el puerto 80 (y 443). ¿Es normal?

Gracias.

    
pregunta Yang Yu 06.01.2016 - 07:28
fuente

3 respuestas

3

En realidad sospecharía que está escuchando en el puerto 53, especialmente si es una estación de trabajo. ¿Por qué debería estar ejecutando un servidor DNS? Puede ser una indicación de comunicaciones maliciosas que intentan disfrazarse como tráfico DNS / HTTP / HTTPS dado, como mencionó, las conexiones desde el puerto 53 < - > 80/443.

Si se tratara de un escenario real, es posible que desee buscar y ver qué proceso está escuchando en el puerto 53 (agregando la opción "-o" al comando netstat)

Las conexiones a la misma dirección en los puertos 80 y 443 no son necesariamente inusuales. Por ejemplo, un sitio web con contenido mixto puede servir contenido a través de HTTP (80) y HTTPS (443).

    
respondido por el VikingSec 06.01.2016 - 07:47
fuente
1

Puede usar este comando para enumerar los puertos tcp y sus servicios asociados:

  netstat -plnt

Usa u para t para enumerar los puertos udp. Creo que su salida es nornmal porque dnsmasq utiliza el puerto tcp y udp en los clientes:

tcp        0      0 192.168.122.1:53   LISTEN      10736/dnsmasq 
udp        0      0 192.168.122.1:53               10736/dnsmasq 

$man dnsmaq 
NAME
   dnsmasq - A lightweight DHCP and caching DNS server.
   ...........................
   ...........................

Creo que será igual en tu caso. Se instala por defecto.

Para las pruebas, puede detenerlo o borrarlo y ver si aparece en su salida o no.

    
respondido por el Ijaz Ahmad Khan 06.01.2016 - 10:41
fuente
0

Es bastante difícil de decir con solo mirar la salida de netstat, solo muestra el estado actual de las conexiones tcp y udp.

Además, no conocemos el servicio que está recibiendo a sabiendas o sin saberlo, y si estas conexiones de TCP son simples o no es posible una reversibilidad y abre una shell inversa al atacante.

    
respondido por el playcool 22.10.2016 - 13:11
fuente

Lea otras preguntas en las etiquetas