Mais, avant de commencer et de commencer à identifier les ports ouverts et les programmes qui y sont liés, je voudrais, pour une compréhension générale, expliquer dans le langage le plus simple, et dire brièvement sur ce qu'est un port et le type de programmes qui fonctionnent comme " Serveur – Client»
Quel est le port et le type des programmes Serveur – Client ?
Comme vous le comprenez, je n'approfondirai pas l'essence du problème et ne parlerai pas dans un langage technique et complexe de ce qu'est un port, pourquoi il est nécessaire, etc. Je vais essayer d'expliquer brièvement et dans un langage compréhensible aux personnes intéressées ce que c'est et pourquoi !
Si nous parlons de malware, la situation ressemble à ceci. Il y a deux programmes " Programme - Serveur" Et " Programme – Client« Le principe de fonctionnement de telles choses est le suivant :
Programme – Serveur: S'exécute toujours sur un ordinateur nécessitant un accès non autorisé.
Programme – Client: Lancé par les créateurs eux-mêmes ou simplement par l'utilisateur pour contrôler un ordinateur distant !
Homme utilisant " Client» envoie les commandes dont il a besoin, que le serveur comprend. Le serveur, à son tour, accepte les commandes et exécute les actions correspondantes sur l'ordinateur distant.
Les choses malveillantes dont nous parlons en ce moment sont appelées « BackDoor ». L'un des types de logiciels malveillants.
Je pense que c'est clair. Le serveur s'exécute sur l'ordinateur qui doit être volé, le client s'exécute sur l'ordinateur à partir duquel l'attaque a lieu.
Comment se font les connexions ?
Pour que le « Client » puisse se connecter au « Serveur » et accéder à un ordinateur distant, le « Serveur » ouvre un « PORT » et attend une connexion du client. N'importe quel port peut être ouvert, mais dans la plage « De 0 à 65535 » ce sont les limitations du protocole TCP/IP
Lorsque le « Serveur » démarre, ce qui suit se produit : Le programme serveur ouvre un certain port, par exemple « 3123 » lorsqu'une demande vient du client vers le port « 3123 », le serveur comprend que c'est pour lui et traite les données reçues .
À propos : le client doit toujours savoir exactement sur quel port se trouve le serveur.
Comme il existe également des programmes légaux qui utilisent certains ports, par exemple les clients de messagerie, ils utilisent toujours le port 25 pour l'envoi de courrier et le 110 pour la réception. Il existe de nombreux autres programmes populaires et pour cette raison, la plage « 0 à 1023 » est réservée à toutes les choses populaires.
Par conséquent, les logiciels malveillants utilisent rarement des numéros de port compris entre « 0 et 1 023 ». Si vous remarquez que, par exemple, le port 3123 est ouvert et que vous n'avez pas aidé à l'ouvrir, vous devez vous assurer que le port est utilisé par un programme légitime, sinon vous devez rechercher et terminer le programme qui a ouvert ce port. .
Comment connaître les ports ouverts et les programmes qui les utilisent ?
Comme je l'ai dit ci-dessus, nous découvrirons les ports ouverts en utilisant Windows sans utiliser de programmes tiers, et encore moins de services en ligne. Pour travailler, nous n'avons besoin que de la ligne de commande.
Nous exécutons « cmd.exe » et obtenons une liste des ports ouverts, ainsi que le « PID » des processus qui utilisent les ports. Pour ce faire, utilisez la commande « netstat » avec les paramètres « -a -o » et pour plus de commodité, enregistrez le résultat de la commande dans le fichier « *.txt » sur le lecteur « C:\ »
La commande finale est :
Défaut
netstat -a -o > C:\Port.txt
netstat -a -o>C:\Port. SMS |
Après avoir appuyé sur la touche « Entrée », vous devrez attendre un peu, pas longtemps.
Après avoir exécuté la commande, le fichier « Port.txt » apparaîtra sur le lecteur « C ». Dans ce fichier, nous pouvons connaître les ports ouverts et le « PID » des processus qui occupent les ports.
En parcourant le fichier, vous remarquerez plus d’un port ouvert sur l’ordinateur, et certains d’entre eux sont très suspects. Dans la capture d'écran ci-dessous, j'ai marqué le port « 3123 » qui nous est déjà familier ; je vous propose de regarder par quel programme il a été ouvert.
Pour obtenir le nom du processus par son « PID », utilisez la commande « tasklist » et voyez quel genre de merde a ouvert ce port sur notre ordinateur.
Pour référence : il était possible d'utiliser dans un premier temps la commande « netstat » avec les paramètres « -a -b », auquel cas nous obtiendrions immédiatement les noms des processus.
Le résultat de l'exécution de la commande « tasklist » est également enregistré dans un fichier sur le disque pour une visualisation facile.
Défaut
liste des tâches > C:\ PID.txt
liste des tâches>C:\PID. SMS |
En conséquence, nous obtenons le fichier « PID.txt » et sachant que le port « 3123 » a été ouvert par un programme avec « PID - 3264 », nous le trouvons et regardons le nom du processus.
Comme vous pouvez le voir, je n'ai pas essayé d'imaginer le nom du programme "123.exe", j'ai décidé de l'appeler simplement "123" et c'est tout))
Collecte d'informations sur les fichiers et les ports :
Après avoir reçu une liste des ports ouverts, vous pourrez obtenir plus d'informations à leur sujet. Utilisez simplement la recherche « google.ru » et voyez ce qu'ils écrivent sur tel ou tel port, puis tirez des conclusions.
Recherchez également sur Internet les noms des processus qui vous semblent suspects.
Vous pouvez trouver de nombreuses informations et savoir si tel ou tel processus constitue une menace ou non. Le fait est que certains processus système peuvent également ouvrir un port à leurs propres fins et qu'il n'est pas nécessaire de les tuer, car cela peut entraîner une sorte de dysfonctionnement dans le fonctionnement de l'ensemble du système.
En garde à vue.
Nous avons appris - Comment découvrir les ports ouverts, sur l'ordinateur en utilisant la commande " netstat» Vous pouvez obtenir plus d'informations dans l'aide de cette commande elle-même.
Comme je l'ai dit ci-dessus, vous pouvez simplement utiliser les paramètres de commande "-a -b" et ne pas vous soucier d'obtenir le nom du processus avec la commande " tasklist ". J'ai fait cela exprès pour démontrer brièvement pour une compréhension générale le fonctionnement du Commande « liste des tâches ».
J'espère avoir pu répondre clairement à la question, Comment découvrir les ports ouverts. Et vous n'aurez plus de difficultés si vous avez besoin de connaître les ports ouverts et les programmes qui les utilisent.
Sources : Wikipédia, Microsoft, portscan.ru
Comment puis-je savoir quels ports sont ouverts sur mon ordinateur ?
- Pour Windows : Démarrer → « cmd » → Exécuter en tant qu'administrateur → « netstat -bn »
- Dans un programme antivirus tel qu'Avast, il est possible de visualiser les ports actifs dans le Pare-feu : outils -> Pare-feu -> Connexions réseau.
Commandes netstat également utiles :
Pour afficher à la fois les statistiques Ethernet et les statistiques de tous les protocoles, tapez la commande suivante :
netstat -e -s
Pour afficher les statistiques uniquement pour les protocoles TCP et UDP, tapez la commande suivante :
netstat -s -p tcp udp
Pour afficher les connexions TCP actives et les ID de processus toutes les 5 secondes, tapez la commande suivante :
nbtstat -o 5
Pour afficher les connexions TCP actives et les ID de processus sous forme numérique, tapez la commande suivante :
nbtstat -n -o
Les valeurs d'état suivantes sont valides pour les sockets TCP :
FERMÉ | Fermé La prise n'est pas utilisée. |
ÉCOUTER (ÉCOUTER) | Attend les connexions entrantes. |
SYN_SENT | Essayer activement d'établir une connexion. |
SYN_RECEIVED | La synchronisation initiale de la connexion est en cours. |
ÉTABLI | La connexion a été établie. |
CLOSE_WAIT | Le correspondant distant s'est déconnecté ; en attendant que la prise se ferme. |
FIN_WAIT_1 | La prise est fermée ; déconnecter la connexion. |
FERMETURE | La prise est fermée, puis le côté distant se déconnecte ; En attente de confirmation. |
LAST_ACK | Le côté distant est déconnecté, puis la prise est fermée ; En attente de confirmation. |
FIN_WAIT_2 | La prise est fermée ; en attendant que le côté distant se déconnecte. |
TEMPS D'ATTENTE | Le socket est fermé, mais attend que les paquets encore sur le réseau soient traités |
Liste des ports les plus couramment utilisés
№ | Port | Protocole | Description |
---|---|---|---|
1 | 20 | Données FTP | Protocole de transfert de fichiers - protocole de transfert de fichiers. Port de données. |
2 | 21 | Contrôle FTP | Protocole de transfert de fichiers - protocole de transfert de fichiers. Port de commande. |
3 | 22 | SSH | Secure SHell - « coque sécurisée ». Protocole de contrôle à distance du système d'exploitation. |
4 | 23 | telnet | RÉSEAU DE TERMINAUX. Protocole pour implémenter une interface texte sur le réseau. |
5 | 25 | SMTP | Simple Mail Transfer Protocol - un protocole simple de transfert de courrier. |
6 | 42 | VICTOIRES | Service de noms Internet Windows. Service de mappage des noms d'ordinateurs NetBIOS aux adresses IP des hôtes. |
7 | 43 | QUI EST | "Qui est". Protocole permettant d'obtenir des données d'enregistrement sur les propriétaires de noms de domaine et les adresses IP. |
8 | 53 | DNS | Système de noms de domaine - système de noms de domaine. |
9 | 67 | DHCP | Dynamic Host Configuration Protocol - protocole de configuration dynamique de l'hôte. Obtention d'IP dynamiques. |
10 | 69 | TFTP | Trivial File Transfer Protocol - un protocole de transfert de fichiers simple. |
11 | 80 | HTTP/Internet | HyperText Transfer Protocol - protocole de transfert hypertexte. |
12 | 110 | POP3 | Post Office Protocol Version 3 - protocole de réception d'e-mails, version 3. |
13 | 115 | SFTP | Protocole de transfert de fichiers SSH. Protocole de transfert de données sécurisé. |
14 | 123 | NTP | Protocole de temps réseau. Un protocole pour synchroniser l'horloge interne de l'ordinateur. |
15 | 137 | NetBIOS | Système d'entrée/sortie de base en réseau. Protocole permettant de fournir des opérations d'entrée/sortie réseau. Service de noms. |
16 | 138 | NetBIOS | Système d'entrée/sortie de base en réseau. Protocole permettant de fournir des opérations d'entrée/sortie réseau. Service de connexion. |
17 | 139 | NetBIOS | Système d'entrée/sortie de base en réseau. Protocole permettant de fournir des opérations d'entrée/sortie réseau. Service de séances. |
18 | 143 | IMAP | Protocole d'accès aux messages Internet. Protocole de couche application pour accéder au courrier électronique. |
19 | 161 | SNMP | Simple Network Management Protocol - un protocole de gestion de réseau simple. Gestion d'appareils. |
20 | 179 | BGP | Border Gateway Protocol, protocole de passerelle frontalière. Protocole de routage dynamique. |
21 | 443 | HTTPS | HyperText Transfer Protocol Secure) est un protocole HTTP qui prend en charge le cryptage. |
22 | 445 | PME | Bloc de messages du serveur. Un protocole d'accès à distance aux fichiers, imprimantes et ressources réseau. |
23 | 514 | Journal système | Journal du système. Un protocole pour envoyer et enregistrer des messages sur les événements système en cours. |
24 | 515 | LPD | Démon d'imprimante en ligne. Protocole d'impression à distance sur une imprimante. |
25 | 993 | SSL IMAP | Protocole IMAP prenant en charge le cryptage SSL. |
26 | 995 | SSL POP3 | Protocole POP3 prenant en charge le cryptage SSL. |
27 | 1080 | CHAUSSETTES | SOCKet Sécurisé. Protocole pour obtenir un accès anonyme sécurisé. |
28 | 1194 | OpenVPN | Implémentation ouverte de la technologie de réseau privé virtuel (VPN). |
29 | 1433 | MSSQL | Microsoft SQL Server est un système de gestion de base de données. Port d'accès à la base de données. |
30 | 1702 | L2TP (IPsec) | Protocole de prise en charge des réseaux privés virtuels. Ainsi qu'un ensemble de protocoles de protection des données. |
31 | 1723 | PPTP | Protocole tunnel pour une connexion sécurisée avec un serveur point à point. |
32 | 3128 | Procuration | À l'heure actuelle, le port est souvent utilisé par des serveurs proxy. |
33 | 3268 | LDAP | Lightweight Directory Access Protocol - protocole d'accès léger aux annuaires (services d'annuaire). |
34 | 3306 | MySQL | Accès aux bases de données MySQL. |
35 | 3389 | RDP | Protocole de bureau à distance - protocole de bureau à distance pour Windows. |
36 | 5432 | PostgreSQL | Accès aux bases de données PostgreSQL. |
37 | 5060 | siroter | Protocole d'établissement de session et de transmission de contenu multimédia. |
38 | 5900 | VNC | Virtual Network Computing est un système d'accès à distance à un ordinateur de bureau. |
39 | 5938 | Visionneuse d'équipe | TeamViewer est un système permettant de contrôler un ordinateur et d'échanger des données à distance. |
40 | 8080 | HTTP/Internet | Un port alternatif pour le protocole HTTP. Parfois utilisé par les serveurs proxy. |
41 | 10000 | NDMP | Port populaire : Webmin, voix SIP, VPN IPSec sur TCP. |
42 | 20000 | DNP |