روز دیگر می خواستم بررسی کنم آیا سرویسی که روی سرور لینوکس من اجرا می شود از IPv6 و همچنین IPv4 گوش می دهد یا خیر. معلوم شد که پاسخ دادن به آن آسان نبود – در کل.
کدام پورت ها در حالت گوش دادن هستند؟ -> برای این سوال من استفاده کردم
netstat -tulpen برای چند سال اکنون. معلوم شد که netstat نوعی منسوخ است و من باید برای این کار از
ss استفاده کنم. گزینه های مشابه:
ss -tulpen :
- t: TCP
- u: UDP
- l: گوش دادن
- p: روند مربوطه را نشان دهید
- e: توسعه یافته (مهم ، به زیر مراجعه کنید) [19659010] n: عددی ، یعنی: حل نشدن آدرسهای IP (سوابق DNS PTR) و نه نام سرویس ها ("22" به جای "ssh")
بنابراین ، اکنون چه معامله ای وجود دارد؟
در حالی که برخی فرایندها / خدمات انجام می شوند باز کردن یک سوکت IPv6 و یک سوکت IPv4 مستقل ، برخی دیگر در حال باز کردن یک سوکت تنها به عنوان IPv6 هستند ، در حالی که در هر دو پروتکل اینترنت گوش می دهند.
در مورد من ، من سعی می کردم برای بررسی اینکه آیا syslog-ng به هر دو IP گوش می دهد یا نه. من قبلاً می دانستم که daemon SSH من هر دو پروتکل را گوش می دهد. بنابراین این خروجی بود (متأسفم ، شما باید به صورت افقی پیمایش کنید):
|
weberjoh @ nb17 – lx2 : ~ $ sudo ss – tulpen Netid دولت Recv – Q ارسال – – س محلی آدرس : بندر همتا آدرس : بندر tcp گوش دهید 0 128 0.0.0.0 : 22 0.0.0.0 : * کاربران [19659021]: ( ( "sshd" ، pid = 1023 ، fd = 3 [19659019]) ) ino : 22611 sk : [19659051] 3 < -> tcp LISTEN 0 128 [ :: [ :: ]] : 22 [ :: ] : * کاربران : [ [[19659019] ( "sshd" ، pid = 1023 ، fd = 4 ] ] ] ] 19659035] ino : 22615 sk : 4 v6 فقط : 1 1 < -> tcp گوش دهید 0 128 * : 514 * : * کاربران : [ ( "syslog-ng" ، pid [19659021] = 1877 ، fd = 15 ] ] ino : 1753628 : 175 19659020] sk : 4f v6only : 0 < -> |
-> در اولین نگاه ، به نظر می رسد ssh برای IPv4 و IPv6 در حال اجرا است ، در حالی که syslog-ng در اینجا فقط یک خط نشان می دهد . در حقیقت ، از طریق پروتکل های اینترنتی نیز گوش فرا می دهد. به "v6only: 0" در انتها توجه کنید که نشان می دهد این سوکت همچنین قادر به IPv4 است. خط IPv6 از ssh در انتها "v6only: 1" را می خواند. (این همان چیزی است که
-e گزینه همه چیز است.)
درصورتی که از netstat استفاده می کنید ، این خروجی در آنجا است. این "tcp6" را برای syslog-ng نشان می دهد که حتی نادرست تر است زیرا "فقط v6" را به ذهن من می رساند:
|
weberjoh @ nb17 – lx2 : [19659021] ~ $ sudo netstat – tulpen فعال اینترنت اتصالات [ [[فقط19659020] 19659020] سرور ] Proto Recv – Q ارسال – Q محلی آدرس خارجی آدرس ایالت کاربر اینود PID / برنامه نام tcp 0 0 0.0.0.0 : 22 0.0.0.0 : * گوش كن 0 ] 22611 [19659051] 1023 / sshd tcp6 0 0 :: : 22 22 ] :: : * گوش كن 0 22615 1023 / sshd tcp6 0 0 :: : 514 :: : * گوش دهید 0 1753628 1877 / syslog – ng |
[194590044] حتی عجیب تر است ] هنگام لیست کردن سرویس های IPv4 فقط ، زیرا خط "v6only: 0" را نشان نمی دهد ، بنابراین از daemon syslog-ng به طور کامل حذف می شود ، در حالی که در IPv4 گوش می دهد:
|
وبرجو @ nb17 – lx2 : ~ $ sudo ss – tulpen4 – Netid State Recv – Q ارسال – Q محلی آدرس : : بندر همتا آدرس : بندر tcp گوش كن 0 128 0.0.0.0 ]: 22 0.0.0.0 : * کاربران : ( ( "sshd" ] ، pid = 1023 ، fd = 3 ) ) ino ino ]: 19659051] 22611 sk : 3 < -> |
کاربر توییتر Flüpke داد توضیح زیر : "سوکت هایی که به in6addr_any در لینوکس متصل هستند ، اگر sockopt IPV6_V6ONLY تنظیم نشده باشد ، ترافیک نگاشته شده IPv4 را دریافت می کنند". اوه ، خوب.
توجه داشته باشید که این یک "مشکل" خاص syslog-ng نیست ، بلکه یک رویکرد کلی در مورد نحوه باز کردن سوکت ها است. چند سال پیش با ntopng رفتار مشابهی داشتم.
ضمناً: از آنجا که واقعاً مطمئن نبودم که درگاه ها باز هستند یا نه ، از Nmap از دستگاهی در همان زیر لایه لایه 3 برای بررسی پروتکل های اینترنت استفاده کردم:
|
1 2 3 4 5 6 7 8 9 10 11 10 11 12 12 ] 13 14 15 16 17 18 19 20 21 22 pi @ pi0 – تصادفی : ~ sudo nmap – Pn – [19659020] sS – p 514 194.247.5.6 شروع N N 7.40 ( https : // nmap.org) در 2021-05-20 14:40 CEST Nmap 29] اسکن گزارش برای 194.247.5.6 میزبان بالاتر ( 0.00066s تأخیر ] . بندر دولت SERVICE 514 / tcp باز ] پوسته MAC آدرس : 00 : 21 : 70 : B2 : 0E : 0E : ]: 6C ( دل ) Nmap انجام : 1 19659026] IP آدرس ( 1 میزبان up ] اسكن در 3،76 ثانیه pi @ pi05 – تصادفی : ~ دلار ] [19659019] @ pi05 – تصادفی : ~ $ pi @ pi05 ] – تصادفی : ~ [ sudo nmap – Pn – sS – p 514 – 6 2001 : 470 : 19659051] 1f0b : 16b0 :: b17 : 22 شروع 90 ] 7.40 ( https : // nmap.org) در 2021-05-20 14:41 CEST Nmap اسکن گزارش برای 2001 : 470 : 1f0b : 16b0 : b17 : 19659051] 22 میزبان بالاتر است ] ( 0.00083s تاخیر ] . بندر کشور خدمات [19459090] 514 / tcp open shell MAC آدرس : 00 : 21 : 70 : 70 ]: B2 : 0E : 6C ( دل ] N انجام شده : 1 IP آدرس ( 1 میزبان بالاتر ] اسكن شده در 1.23 ثانیه |
برای اضافه كردن این مطلب
من می خواستم syslog-ng برای گوش دادن به UDP و TCP در هر دو پروتكل اینترنت. با استفاده از این عبارت منبع:
|
منبع s_network { شبکه ( |
