[Risolto] Ubuntu netstat ed indirizzi IP con lettere

[300t]

Buongiorno, non sono esperto di sicurezza ma ogni tanto eseguo il comando netstat -a per vedere le connessioni attive. Oggi ho trovato molte connessioni attive con indirizzi che terminano con lettere come ad esempio:

tcp 0 0 Lenovo-H5:38002 191.144.160.34.bc:https ESTABLISHED

Devo preoccuparmi?

[Filoteo]

C'è un argomento per netstat che traduce le porte note nel servizio corrispondente, ad esempio 443 -> https

[300t]

grazie per la risposta, ma nel mio caso i caratteri "bc" cosa rasppresentano?
l'indirizzo sembra appartenere a Latin American and Caribbean IP address Regional Registry. Perché dovrebbe essere un IP in rete col mio computer?

[thece]

usa il comando

Codice: Seleziona tutto

sudo netstat -tuanp

lo switch -n tradurrà i nomi in numeri

Perché dovrebbe essere un IP in rete col mio computer?

e lo switch -p ti indicherà l'applicazione che sta utilizzando la connessione

[300t]

grazie per la risposta, ecco:

Codice: Seleziona tutto

Connessioni Internet attive (server e stabiliti)
Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato       PID/Program name    
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2421/master         
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1119/cupsd          
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      773/systemd-resolve 
tcp        0      0 192.168.1.18:47670      195.15.252.116:443      TIME_WAIT   -                   
tcp        0      0 192.168.1.18:57534      91.189.91.98:80         TIME_WAIT   -                   
tcp        0      0 192.168.1.18:45070      151.21.209.96:80        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:57536      18.66.196.92:443        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:48590      34.149.97.1:443         ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:59750      34.120.208.123:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:43782      34.107.243.93:443       ESTABLISHED 172790/firefox      
tcp        0      1 192.168.1.18:39328      185.38.109.109:443      SYN_SENT    172790/firefox      
tcp        0      0 192.168.1.18:53936      34.36.165.17:443        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:43768      34.107.243.93:443       ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:39614      34.107.221.82:80        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:39644      34.107.221.82:80        ESTABLISHED 172790/firefox      
tcp        0      1 192.168.1.18:39354      185.38.109.109:443      SYN_SENT    172790/firefox      
tcp        0      0 192.168.1.18:45102      151.21.209.96:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.18:35124      192.229.221.95:80       ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:37000      34.117.188.166:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:45092      151.21.209.96:80        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:36988      34.117.188.166:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:46896      34.149.100.209:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:46908      34.149.100.209:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:41624      34.160.144.191:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:45080      151.21.209.96:80        ESTABLISHED 172790/firefox      
tcp6       0      0 :::25                   :::*                    LISTEN      2421/master         
tcp6       0      0 ::1:631                 :::*                    LISTEN      1119/cupsd          
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1014/avahi-daemon:  
udp        0      0 0.0.0.0:48950           0.0.0.0:*                           1014/avahi-daemon:  
udp        0      0 127.0.0.53:53           0.0.0.0:*                           773/systemd-resolve 
udp        0      0 192.168.1.18:68         192.168.1.1:67          ESTABLISHED 1017/NetworkManager 
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1782/cups-browsed   
udp6       0      0 :::5353                 :::*                                1014/avahi-daemon:  
udp6       0      0 :::36022                :::*                                1014/avahi-daemon:  
udp6       0      0 fe80::4914:64ad:843:546 :::*                                1017/NetworkManager 

Se chiudo Firefox e riprovo ottengo questo:

Codice: Seleziona tutto

Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato       PID/Program name    
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2421/master         
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1119/cupsd          
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      773/systemd-resolve 
tcp        0      0 192.168.1.18:45596      34.120.208.123:443      TIME_WAIT   -                   
tcp        0      0 192.168.1.18:48544      34.160.144.191:443      TIME_WAIT   -                   
tcp        0      0 192.168.1.18:47450      192.229.221.95:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:40638      34.107.243.93:443       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:40336      195.15.252.116:443      TIME_WAIT   -                   
tcp        0      0 192.168.1.18:35966      151.21.209.168:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:50242      34.107.221.82:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.18:47730      142.251.209.3:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.18:47328      34.120.237.76:443       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:40636      34.107.243.93:443       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:58602      34.120.208.123:443      TIME_WAIT   -                   
tcp        0      0 192.168.1.18:35968      151.21.209.168:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:50232      34.107.221.82:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.18:46454      142.251.209.3:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.18:35950      151.21.209.168:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:39276      151.29.122.136:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:47316      185.125.190.98:80       TIME_WAIT   -                   
tcp6       0      0 :::25                   :::*                    LISTEN      2421/master         
tcp6       0      0 ::1:631                 :::*                    LISTEN      1119/cupsd          
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1014/avahi-daemon:  
udp        0      0 0.0.0.0:48950           0.0.0.0:*                           1014/avahi-daemon:  
udp        0      0 127.0.0.53:53           0.0.0.0:*                           773/systemd-resolve 
udp        0      0 192.168.1.18:68         192.168.1.1:67          ESTABLISHED 1017/NetworkManager 
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1782/cups-browsed   
udp6       0      0 :::5353                 :::*                                1014/avahi-daemon:  
udp6       0      0 :::36022                :::*                                1014/avahi-daemon:  
udp6       0      0 fe80::4914:64ad:843:546 :::*                                1017/NetworkManager 

[thece]

Dall'output che hai postato, direi che la connessione

Codice: Seleziona tutto

 tcp        0      0 Lenovo-H5:38002 191.144.160.34.bc:https ESTABLISHED

è stata chiusa

Se chiudo Firefox e riprovo ottengo questo:

E se aspetti ancora un attimo prima di ridare il comando netstat vedrai che le connessioni in stato TIME_WAIT spariranno ... echissàcomemai ...

L'applicazione apre una connessione di rete (stato: ESTABLISHED), l'applicazione chiude la connessione di rete (stato: TIME_WAIT) e dopo qualche secondo sparisce dall'output di netstat.

[saxtro]

L'oggetto della richiesta era:

191.144.160.34.bc

cosa vuol dire quel `.bc` alla fine di quello che sempra un ip v4? non cosa fosse il

Codice: Seleziona tutto

:https

Io è la prima volta che vedo un ipv4 cosi formattato. E' un ipv4 perchè il protocollo è tcp e non tcp6 (e cmq non è neanche un IP v6 dalla formattazione)

[DoctorStrange]

Secondo me, può rappresentare un semplice socket interno di sistema, non necessariamente una connessione esterna valida. Non per nulla hai impostato lo switch "all". Ad una breve ricerca su internet, quell'IP appartiene all'hyperscaler di google: Google cloud. La domanda: per caso fai uso di questo servizio? Hai qualche tool come "gsutil" oppure "gcloud" installati? Prova a vedere cosa ti dice:

Codice: Seleziona tutto

update-alternatives --display gsutil && update-alternatives --display gcloud

[300t]

Grazie per la precisazione saxtro, in effetti mi incuriosiva il "bc" presente in molte connessioni ma non i n tutte. Credo di aver capito che come da spiegazione di thece rappresentasse il valore numerico di https, tuttavia se confronto l'output dei due comandi sudo netstat -a e sudo netstat -tuanp ottengo questo:

Codice: Seleziona tutto

Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato      
tcp        0      0 0.0.0.0:smtp            0.0.0.0:*               LISTEN     
tcp        0      0 localhost:ipp           0.0.0.0:*               LISTEN     
tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN     
tcp        0      0 Lenovo-H5:54438 123.208.120.34.bc:https ESTABLISHED
tcp        0      0 Lenovo-H5:50286 is-content-cache-1:http TIME_WAIT  
tcp        0      0 Lenovo-H5:47038 93.243.107.34.bc.:https ESTABLISHED

Codice: Seleziona tutto

Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato       PID/Program name    
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2421/master         
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1119/cupsd          
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      773/systemd-resolve 
tcp        0      0 192.168.1.18:54438      34.120.208.123:443      ESTABLISHED 174981/firefox      
tcp        0      0 192.168.1.18:50286      185.125.190.17:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.18:47038      34.107.243.93:443       ESTABLISHED 174981/firefox      

Gli IP remoti mi appaiono totalmente diversi... Perché?

[300t]

Grazie DoctorStrange, non credo di usare i servizi indicati, il risultato è questo:

Codice: Seleziona tutto

update-alternatives: errore: nessuna alternativa per gsutil

e se provo a chiamare gsutil ottengo:

Codice: Seleziona tutto

gsutil
Comando «gsutil» non trovato, ma può essere installato con:
sudo snap install google-cloud-cli  # version 475.0.0, or
sudo snap install google-cloud-sdk  # version 475.0.0
sudo apt  install gsutil            # version 3.1-4
Per ulteriori versioni, consultare «snap info <nomesnap>».

[saxtro]

Cosi ha senso. Eh si, dipende dalla risoluzione dei nomi.

Codice: Seleziona tutto

tcp        0      0 Lenovo-H5:54438 123.208.120.34.bc:https ESTABLISHED

...
tcp        0      0 192.168.1.18:54438      34.120.208.123:443      ESTABLISHED 174981/firefox

Questa è la stessa connessione, ottenuta con diverse opzioni


123.208.120.34.bc dovrebbe essere il nome associato a 34.120.208.123

[300t]

Grazie mille, immaginavo fosse questo il punto ma sai che genere di protocollo viene usato? Che senso ha invertire specularmente gli IP?

[saxtro]

Grazie mille, immaginavo fosse questo il punto ma sai che genere di protocollo viene usato? Che senso ha cambiare in quel modo gli IP?

nel primo caso, solo con "-a", non ottieni un IP ma un nome DNS.

Codice: Seleziona tutto

# nslookup 34.120.208.123
123.208.120.34.in-addr.arpa     name = 123.208.120.34.bc.googleusercontent.com.

[thece]

... ma sai che genere di protocollo viene usato?

Il comando netstat fa vedere solo le informazioni relative alla connessione di rete, quale protocollo viene usato dentro la connessione non lo sa. E' un'informazione che riguarda il layer Applicazione dello stack ISO/OSI, non il layer Rete.

Puoi verificare che protocollo viene utilizzato dentro la connessione o controllando l'applicazione (il suo codice? la sua documentazione?) oppure intercettando i pacchetti che transitano sulla connessione con uno sniffer (tipo Wireshark)

[300t]

grazie ancora e sapresti dirmi per quale ragione firefox si connette a tutti questi siti:

Codice: Seleziona tutto

Connessioni Internet attive (server e stabiliti)
Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato       PID/Program name    
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2421/master         
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1119/cupsd          
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      773/systemd-resolve 
tcp        0      0 192.168.1.18:47670      195.15.252.116:443      TIME_WAIT   -                   
tcp        0      0 192.168.1.18:57534      91.189.91.98:80         TIME_WAIT   -                   
tcp        0      0 192.168.1.18:45070      151.21.209.96:80        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:57536      18.66.196.92:443        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:48590      34.149.97.1:443         ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:59750      34.120.208.123:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:43782      34.107.243.93:443       ESTABLISHED 172790/firefox      
tcp        0      1 192.168.1.18:39328      185.38.109.109:443      SYN_SENT    172790/firefox      
tcp        0      0 192.168.1.18:53936      34.36.165.17:443        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:43768      34.107.243.93:443       ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:39614      34.107.221.82:80        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:39644      34.107.221.82:80        ESTABLISHED 172790/firefox      
tcp        0      1 192.168.1.18:39354      185.38.109.109:443      SYN_SENT    172790/firefox      
tcp        0      0 192.168.1.18:45102      151.21.209.96:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.18:35124      192.229.221.95:80       ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:37000      34.117.188.166:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:45092      151.21.209.96:80        ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:36988      34.117.188.166:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:46896      34.149.100.209:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:46908      34.149.100.209:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:41624      34.160.144.191:443      ESTABLISHED 172790/firefox      
tcp        0      0 192.168.1.18:45080      151.21.209.96:80        ESTABLISHED 172790/firefox      
tcp6       0      0 :::25                   :::*                    LISTEN      2421/master         
tcp6       0      0 ::1:631                 :::*                    LISTEN      1119/cupsd          
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1014/avahi-daemon:  
udp        0      0 0.0.0.0:48950           0.0.0.0:*                           1014/avahi-daemon:  
udp        0      0 127.0.0.53:53           0.0.0.0:*                           773/systemd-resolve 
udp        0      0 192.168.1.18:68         192.168.1.1:67          ESTABLISHED 1017/NetworkManager 
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1782/cups-browsed   
udp6       0      0 :::5353                 :::*                                1014/avahi-daemon:  
udp6       0      0 :::36022                :::*                                1014/avahi-daemon:  
udp6       0      0 fe80::4914:64ad:843:546 :::*                                1017/NetworkManager 

[thece]

No.
Non so che pagine hai aperto su Firefox e quali risorse queste pagine vanno a caricare.

[300t]

Questo è il punto, non ho aperto pagine, se riavvio il computer e poi apro Firefox senza cercare nulla, si stabiliscono delle connessioni

[thece]

Potrebbero essere connessioni che Firefox apre per motivi suoi verso suoi server.
Potrebbero essere connessioni che i plugin di Firefox aprono verso i loro server.
Varie ed eventuali ...
Difficile dire, bisognerebbe controllarle una per una

[300t]

Ad esempio questa 18.66.196.92 è: Amazon Technologies Inc. Ma io non uso Amazon

[Filoteo]

Ad esempio questa 18.66.196.92 è: Amazon Technologies Inc. Ma io non uso Amazon

Amazon non è solo l'ecommerce ma anche fornitore di servizi cloud https://aws.amazon.com/it/