我使用 netstat 发现一些应用程序正在监听环回,外部地址为 0.0.0.0
这是否意味着某些应用程序可能是一个 rootkit?
谢谢
NAME LOCAL ADRESS FOREIGN ADRESS STATE PID
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 6796
答案1
0.0.0.0 外部地址意味着没有人连接<-- 您有这个。
0.0.0.0 本地地址意味着在所有接口上监听。<-- 您没有这个。
127.0.0.1 本地地址意味着只能监听 127.0.0.1,也就是说只有您的计算机可以连接。<-- 您有这个。我认为这其实没什么危害。当您有防火墙时,即使监听 0.0.0.0 也是可以的..(+NAT 路由器有帮助),但您的防火墙比这安全得多。即使是 LAN 上的另一台计算机也无法连接,更不用说从互联网连接了!
LISTENING 而不是 ESTABLISHED,所以这意味着没有人连接。
所有 LISTENING 连接的外部地址都是 0.0.0.0,我想反之亦然,所有外部地址 0.0.0.0 都列为 LISTENING。因此,您拥有 LISTENING 和外部地址 0.0.0.0 是合理的,这很正常。
就你的情况而言,你的外部地址是 0.0.0.0,因此没有人连接
在您的例子中,由于本地地址的 IP 为 127.0.0.1,而不是 LAN IP 或 0.0.0.0,这意味着只有 127.0.0.1 才允许连接。如果它是 LAN 地址,则意味着您的 LAN 中的任何人都可以连接,如果它是 0.0.0.0,则意味着任何人都可以连接。
本地 IP 127.0.0.1 监听通常是最不用担心的,因为只有您的本地计算机可以连接到它(您的计算机连接到自身)!就像客户端和服务器在运行一样。这就是建立的时间。
本地 IP 0.0.0.0 监听可能更安全,但也可以。但您随后需要查看外部地址是否来自互联网,然后查看 PID 是什么。并考虑您是否希望来自互联网的外部地址连接,或者您是否希望使用防火墙阻止它们,并且它们也必须通过您的 NAT 路由器,但这不是您的情况。因为您的服务器或服务正在监听 127.0.0.1。
答案2
“0.0.0.0” 表示服务器正在监听具有相应 IP 的每个可用接口。这与 root kit 无关,但您可能还是想检查一下,也许某些游戏希望让玩家通过局域网加入,或者是 windows netbios。如果您需要帮助来识别它,请评论端口号。