我有一台 Linksys EA6400 路由器。今天,我在日志文件中注意到 2 个开放端口上的多个 IP 地址有一些活动:54409和16808我不知道那里发生什么事。
我没有手动打开任何端口,也没有对路由器设置进行任何特定更改。
我使用的只是一个连接到路由器的外部硬盘,可以通过 ftp 从 Web 访问。
有谁知道为什么这些端口是开放的,哪些服务默认使用它们?或者我如何才能找到答案?
扫描我的 IP 端口的结果:
港口国服务
21/tcp 开放 ftp
16808/tcp 开放 未知
51000/tcp 关闭 未知
54409/tcp 开放 未知
答案1
由于您的路由器执行状态数据包检查,因此有三个可能的原因导致看到流量流出路由器的“开放”端口:
- 你已将设备设置在 DMZ 中,所有未经请求的流量都会被定向到该设备,
- 您已创建端口转发规则,允许将该端口定向到特定系统,以接收未经请求的流量,
- 或者您看到的端口实际上并未打开,而是由 LAN 请求的现有连接使用。该端口不会接受未经请求的流量,但可受到 TCP 连接劫持攻击尝试的攻击(尽管这些攻击如今很难实现)。
如果条件 1 和条件 2 都不成立,则连接是从 LAN 内部建立的。
由于您的日志信息有限,并且(大多数)网络设备不受管理,因此对于家庭网络而言,确定 LAN 客户端和进程的最简单方法就是访问每个终端并确定该终端是否连接到该端口上的远程服务器。
您可以从提升的 powershell 实例执行此操作,使用以下命令:
netstat -abno | findstr <portnum>
或者如果远程 IP 已知:
netstat -abno | findstr <RemoteIPAddr>
从那里,一旦您找到客户端连接,您就可以记下进程 ID,然后可以在进程资源管理器或任务管理器中查找它,以确定导致连接的可执行文件。
答案2
如果您有一台计算机连接到内部局域网,您可以在混杂模式下使用其网卡来捕获来自/发往相关端口的数据包。您可以使用 tcpdump 或 Wireshark 来完成此操作。此分析的输出应显示内部网络中的哪些设备正在使用这些连接,然后进行进一步调查。