Откуда берутся открытые порты?

[Protopopulus]

Здрасте фсем. Не то чтобы проблема, но несколько напрягает... Я, человек достаточно помешанный на безопасности, поэтому и спрашиваю. В общем дело такое. Стоит gufw, до этого стоял Firestarter и было то же самое. Открываю "Сетевые инструменты" и сканирую порты своего IP-адреса. В итоге многократных проверок постоянно вылетают открытые порты с достаточно случайным номером (выше 30000 точно) в количестве от 1 до 6 штук. То есть раз на раз не приходится, и может показать, что открыты порты 38127, 55707, 41389, а в другой раз ничего. Вопрос: КАКОГО ПАПУАСА ТАКОЕ ПРОИСХОДИТ?   

[ArcFi]

Protopopulus, торренты?

[Tokh]

sudo lsof -i
sudo netstat -antpu
помогут пролить свет на имена софта.

[Protopopulus]

Проверял без единого клиента, т.е. ни ICQ, ни Jabber, ни Torrent клиенты не запущены, выключены программы, которые принципиально в интернет не лазают. Та же петрушка. При первом же сканировании 4 порта!!! Номера снова выше 30000. Номера совершенно случайные (на мой взгляд). Приведенные команды выдают неизменную картину, и там, чьёрт побьери, нет ничего подозрительного!!!

[ArcFi]

Protopopulus, показывайте результаты команд выше, будем вместе разбираться.

[Protopopulus]

ArcFi, ну уж Вы прям меня к нубам причислили...

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ sudo lsof -i
COMMAND    PID        USER   FD   TYPE DEVICE SIZE NODE NAME
exim4     3228 Debian-exim    3u  IPv4   6640       TCP localhost:smtp (LISTEN)
avahi-dae 3420       avahi   14u  IPv4   7584       UDP *:mdns
avahi-dae 3420       avahi   15u  IPv4   7585       UDP *:43673
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           -               
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           -               
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           -               
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           -               
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           -               
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           -               
protopopulus@sofocl:~$ netstat -antpu
(Не все процессы были идентифицированы, информация о процессах без владельца
 не будет отображена, вам нужны права суперпользователя (root), чтобы увидеть всю информацию.)
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:43673           0.0.0.0:*                           -               
udp        0      0 0.0.0.0:5353            0.0.0.0:* 

Выполнил команды несколько раз, изменений нет. При сканировании портов, их номера рандомны. Под рутом то же самое...

Господа, большая просьба - проверьте у себя, пожалуйста

[Tokh]

  Ой. Внутри спойлера замечательно срабатывает тег "code", который в меню сайта решёткой обозначен. Если тег применить, то читать листинги гораздо легче.

netstat пишет: ... и нет прав рута. Припишите sudo к netstat.

Может быть возможно показать вывод сканера портов?

P.S.  Проверить-то можно, только что именно нам надо делать? В XUbuntu и KUbuntu не вижу "Сетевые инструменты". Есть команда для консоли? Например, nmap с параметрами?
Подозреваю может быть разница, где её запускать, прямо на проверяемом компе, или на другом компьютере.

[ArcFi]

ArcFi, ну уж Вы прям меня к нубам причислили...

Неправда, я такого нигде не говорил. =)

Достаточно было выполнить 1 раз, а вот sudo вы зря не использовали.

Ой. Внутри спойлера замечательно срабатывает тег "code", который в меню сайта решёткой обозначен. Если тег применить, то читать листинги гораздо легче.

+1

[Protopopulus]

Так вот, господа, я и спрашиваю не баг ли это или глюк какой... На ядро и фаерволл подозрений не возникает...

При отключенных клиентах, браузере и т.п.

[ArcFi]

Protopopulus, покажите

Код: [Выделить]

aptitude search ~i~dtorrent

sudo netstat -antpu


[Protopopulus]

Код: [Выделить]

protopopulus@sofocl:~$ aptitude search ~i~dtorrent
i  transmission-common - lightweight BitTorrent client (common files)
i  transmission-gtk  - lightweight BitTorrent client (graphical interface)

Код: [Выделить]

protopopulus@sofocl:~$ sudo netstat -antpu
[sudo] password for protopopulus:
Активные соединения с интернетом (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp  0  0 127.0.0.1:25            0.0.0.0:*               LISTEN      3228/exim4
udp  0  0 0.0.0.0:43673           0.0.0.0:*                           3420/avahi-daemon:
udp  0  0 0.0.0.0:5353            0.0.0.0:*                           3420/avahi-daemon:

[Tokh]

Вообще-то, nmap говорит, что по адресу со скриншотов все порты прикрыты.

(Нажмите, чтобы показать/скрыть)

Здесь опубликован другой адрес, но проверялся тот, что на картинках.

Код: [Выделить]

$ sudo nmap 11.22.33.44 -p1-65535

Starting Nmap 4.76 ( http://nmap.org ) at 2009-05-31 13:29 MSD
Stats: 0:07:22 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 39.05% done; ETC: 13:48 (0:11:29 remaining)
All 65535 scanned ports on 11.22.33.44 are filtered

Nmap done: 1 IP address (1 host up) scanned in 1029.06 seconds


[Protopopulus]

Вот, значит всё выяснилось Глюк при проверке собственного IP при помощи "сетевых инструментов"... Закрываем тему?

[Lion-Simba]

Есть предположение, что nmap про сканировании портов на удаленном хосте, на локальной машине открывает какие-то дополнительные порты, на которые скажем ожидается подключение от удаленного хоста.
Соответственно, если удаленный хост - это и есть локальная машина, могут быть такие вот казусы.

[Protopopulus]

Пожалуй, тоже вариант