Les ports informatiques, par le principe de leur fonctionnement, sont très similaires aux ports ordinaires, les mêmes que l'on peut trouver dans toute ville dotée d'une infrastructure de transport par eau développée.
Pas étonnant que ces deux mots soient des homonymes.
De ce point de vue, un ordinateur semble n'être rien de plus qu'une ville, ou encore mieux un pays avec de nombreux ports, et les programmes qui ont accès à Internet sont des navires avec une cargaison utile ou dangereuse (tout peut arriver ici).
Un port informatique et un port comme lieu de bord de mer, outre sa finalité explicite, réside aussi dans le fait que les navires, si leur taille le permet, peuvent entrer dans des ports différents, mais les programmes ne se connectent qu'à certains ports.
De nombreux navigateurs, par exemple, utilisent le port 80, alors qu'ils peuvent utiliser deux ports, à savoir 25 pour l'envoi de courrier et 110 pour la réception.
Ainsi, les utilisateurs ont parfois besoin de savoir quel port utilise quel programme. Et c'est très facile à découvrir. À ces fins, vous pouvez utiliser utilitaires spéciaux comme TCPView ou la ligne de commande la plus ordinaire. Exécutez la console en tant qu'administrateur et exécutez la commande suivante :
netstat /?
Cela ouvrira brève description commandes et une liste des paramètres disponibles. Par exemple, en utilisant netstat avec la clé -mais affichera une liste de toutes les connexions et ports d'écoute, la clé -O ouvrira l'accès à l'ID de chaque processus et le commutateur -b affichera le fichier exécutable impliqué dans la création de la connexion, ce dont nous avons réellement besoin. Vous pouvez également utiliser la touche pour afficher les adresses et les numéros de port –N.
Donc, nous exécutons la commande netstat –a –n –o et voir ce qui s'est passé. Nous avons obtenu une liste des connexions actives avec le protocole, les adresses locales et externes, le statut et l'identifiant. Comment savoir, par exemple, à quel fichier ID 2248 appartient ? Vous pouvez développer la commande en y ajoutant une clé -B ou exécuter immédiatement une autre commande liste des tâches | trouver "2248"... C'est aussi simple que ça.
Les usages programme(ou quoi programme les usages ports), survient généralement en cas de suspicion d'infection informatique cheval de Troie... Si vous remarquez quelque chose de suspect, ouvrez Invite de commandes : Démarrer - Tous les programmes - Accessoires - Invite de commandes.
Entrer à l'intérieur ligne de commande la commande tasklist et appuyez sur Entrée. Vous recevrez des données sur tous les processus en cours d'exécution dans le système. Faites attention au PID - identifiant de processus. Il aidera à déterminer quel programme utilise tel ou tel port.
Tapez netstat –aon à l'invite de commande et appuyez sur Entrée. Vous verrez une liste des connexions actuelles. La colonne « Adresse locale » à la fin de chaque ligne contient le numéro de port. La colonne PID contient les identifiants de processus. Après avoir regardé le numéro de port et le PID correspondant, accédez à la liste des processus et utilisez le numéro d'identifiant pour déterminer quel processus utilise ce port.
Si vous ne pouvez pas comprendre par le nom du processus à quel programme il appartient, utilisez l'un des programmes qui conviennent dans ce cas. Par exemple, Programme Everest, alias Aida64. Exécutez le programme, ouvrez l'onglet " Système opérateur", sélectionnez " Processus ". Dans la liste des processus, trouvez celui dont vous avez besoin et regardez la ligne pour le démarrer. Cela aidera à déterminer à quel programme appartient le processus.
Utilisez AnVir Task Manager dans le même but. Il vous permet de suivre tous les processus suspects, y compris les processus des programmes qui se connectent à Internet. Tous les processus suspects sont surlignés en rouge dans la liste des programmes.
Si vous voyez que le port est utilisé par un programme inconnu, alors s'il y a une connexion actuelle dans la colonne "Adresse externe" (commande netstat –aon), vous verrez l'adresse IP de l'ordinateur avec lequel la connexion est établi. La colonne "State" contiendra la valeur ESTABLISHED - si la connexion est présente à l'instant présent ; CLOSE_WAIT si la connexion est fermée ; ÉCOUTE si programme en attente d'une connexion. Ce dernier est typique des backdoors, un type de cheval de Troie.
Le port logiciel est un numéro conventionnel de 1 à 65535, qui indique à quelle application le paquet de données est adressé. Le port qui fonctionne avec le programme est appelé open. Il convient de garder à l'esprit qu'à l'heure actuelle, tout port ne peut fonctionner qu'avec un seul programme.
Si le port est ouvert, cela signifie qu'un programme (par exemple, un service) l'utilise pour communiquer avec un autre programme via Internet ou système local... Pour voir quels ports sont ouverts dans votre Système Linux vous pouvez utiliser la commande netstat. La sortie affichera tous les services et les ports et adresses IP qu'ils écoutent.
sudo netstat -ntulp Connexions Internet actives (serveurs uniquement)
Proto Recv-Q Send-Q Adresse locale Adresse étrangère État PID / Nom du programme
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 2392 / smbd
tcp 0 0 0.0.0.0:9518 0.0.0.0:* ÉCOUTER 2894 / skype
tcp 0 0 0.0.0.0:8080 0.0.0.0:* ÉCOUTER 2896 / vlc
tcp 0 0 127.0.0.1:3493 0.0.0.0:* ÉCOUTEZ 2467 / upsd
...
- -l ou -listening - affiche uniquement les ports d'écoute
- -p ou -program - affiche le nom du programme et son PID
- -t ou -tcp affiche les ports TCP
- -u ou -udp affiche les ports udp
- -n ou -numeric affiche les adresses IP sous forme numérique
Méthode 2 lsof
L'utilitaire lsof vous permet d'afficher toutes les connexions ouvertes dans le système, y compris les connexions réseau, pour cela, vous devez utiliser l'option i.
dhcpcd 2136 racine 6u IPv4 4986 0t0 UDP * : bootpc
hamachid 2323 racine 8u IPv4 5587 0t0 TCP 192.168.1.2:35445->212.118.234.65:https (ÉTABLI)
smbd 2392 racine 27u IPv6 5624 0t0 TCP * : microsoft-ds (ÉCOUTEZ)
sshd 2421 racine 3u IPv4 6196 0t0 TCP * : ssh (ÉCOUTER)
upsd 2467 nut 4u IPv4 6235 0t0 TCP comm-app.local: nut (ÉCOUTEZ)
Un autre exemple, nous regardons quels processus s'exécutent sur le port 80 :
sudo lsof -i | grep 80
ntpd 2213 racine 23u IPv6 5422 0t0 UDP : ntp
ntpd 2213 racine 27u IPv6 5598 0t0 UDP : ntp
skype 2894 serigy 87u IPv4 7080 0t0 TCP * : 9518 (ÉCOUTER)
chrome 3114 sergiy 122u IPv4 31904 0t0 TCP 192.168.1.2:47804->srv118-131-240-87.vk.com:https (ÉTABLI)
Méthode 3. sieste
Nmap est un puissant scanner réseau conçu pour scanner et pénétrer les hôtes distants, mais rien ne l'empêche d'être dirigé vers la machine locale :
Démarrage de Nmap 6.47 (http://nmap.org) au 02-08-2015 17:27 EEST
Rapport d'analyse Nmap pour localhost (127.0.0.1)
L'hôte est opérationnel (latence de 0,00036 s).
Autres adresses pour localhost (non analysées) : 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1
Enregistrement rDNS pour 127.0.0.1 : comm-app.local
Non illustré : 995 ports fermés
SERVICE DE L'ÉTAT DU PORT
22 / tcp ouvert ssh
139 / tcp ouvrir netbios-ssn
445 / tcp ouvert microsoft-ds
3493 / tcp écrou ouvert
8080/tcp ouvre le proxy http
Nmap fait : 1 adresse IP (1 hôte en place) scannée en 0,10 seconde
Si vous voulez voir quels ports d'un ordinateur sont accessibles de l'extérieur, Nmap est également utile ici. Si l'ordinateur est un serveur public, le résultat ne sera probablement pas différent de l'analyse locale, mais sur ordinateur de famille tout est un peu différent. La première option - un routeur est utilisé et seuls les ports du routeur seront visibles par le réseau, un autre seuil de protection peut être le serveur NAT du fournisseur. La technologie NAT permet à plusieurs utilisateurs de partager la même adresse IP externe. Et donc, pour afficher les ports externes ouverts, nous trouvons d'abord l'adresse IP externe, pour plus de fiabilité, nous utiliserons le service en ligne :
nmap 178.93.149.50
En conséquence, nous pouvons obtenir port ouvert 80 serveurs web, voire 21 - serveur de fichiers, que nous n'avons pas installé, ces ports sont ouverts par le routeur, 80 pour l'interface Web et 21 pour peuvent être utilisés pour mettre à jour le firmware. De plus, il se peut que vous n'obteniez aucun résultat, cela signifie que tous les ports sont fermés ou que le serveur dispose d'un système de protection contre les intrusions IDS.
