5.8. Verificando Quais Portas estão Escutando

Após configurar os serviços de rede, é importante atentar para quais portas estão escutando as interfaces de rede do sistema. Quaisquer portas abertas podem ser evidências de uma intrusão.

Há duas formas básicas de listar as portas que estão escutando a rede. A menos confiável é questionar a lista da rede ao digitar comandos como netstat -an ou lsof -i. Este método é menos confiável já que estes programas não conectam à máquina pela rede, mas checam o que está sendo executado no sistema. Por esta razão, estas aplicações são alvos frequentes de substituição por atacantes. Desta maneira, os crackers tentam cobrir seus passos se abrirem portas de rede não autorizadas.

Uma forma mais confiável de listar quais portas estão escutando a rede é usar um scanner de portas como o nmap.

O comando a seguir, submetido em um console, determina quais portas estão escutando conexões FTP pela rede:

nmap-sT-Olocalhost

O output deste comando se parece com o seguinte:

SI(P22116823DROUNtnTO25113362euSpmathR//131407vntareeTtt////17indiptrcctttt/4ciemie1ppcccct/enterns6ppppctgaugt5pct:i1ni3pyl2nnpLs.cmgpSooooooooei:8oaoTpppppppp:n5mpprAeeeeeeeeuL7potTnnnnnnnngxil3rsEende.tn2uat5ssSssraiuzse.xye5cEsmpupneor4sdoaRhtctpkbma.2(nnVpbhnrelX.(nIioat|5shleCnwip2.itodEdnmu.2n1tcer55cpabsp.eI:lu-oX-P/htrs|S/ope22aawsnc..tdwto166dw.t1..Sr.lX3eeiospsnchossaor1elw1(cdnG1uoe1rmbn7heaet:o.ilo1sonoo6trw:g(12u/1a.0pn2r2)m7e2a.L0sp0ii0c/.nn4a0u)n).sxn1tea)a2dt:t.e4i2:.n010c954l.-or10sc99e10-d-2)rs4ce7c1)o3n:d4s9EDT

Este output mostra que o sistema está rodando o portmap devido à presença do serviço sunrpc. No entanto, também há um serviço misterioso na porta 834. Para verificar se a porta está associada à lista oficial de serviços conhecidos, digite:

cat/etc/services|grep834

Este comando não retorna nenhum output. Isto indica que enquanto a porta está no intervalo reservado (de 0 a 1023) e requer acesso root para abrir, não está associada a um serviço conhecido.

Em seguida, verifique as informações sobre a porta usando netstat ou lsof. Para verificar a porta 834 usando netstat, use o seguinte comando:

netstat-anp|grep834

O comando retorna o seguinte output:

tcp000.0.0.0:8340.0.0.0:*LISTEN653/ypbind

A presença da porta aberta em netstat afirma que um cracker que abrir clandestinamente uma porta num sistema hackeado provavelmente não permitirá que esta seja revelada através deste comando. A opção [p] também revela o id do processo (PID) do serviço que abriu a porta. Neste caso, a porta aberta pertence ao ypbind (NIS), que é um serviço RPC administrado juntamente ao serviço portmap.

O comando lsof revela informações similares já que é capaz de ligar portas abertas a serviços:

lsof-i|grep834

Veja abaixo a parte relevante do output deste comando:

yyyyppppbbbbiiiinnnndddd66665555356700007777uuuuIIIIPPPPvvvv44441111333311119999TTTTCCCCPPPP****::::888833334444((((LLLLIIIISSSSTTTTEEEENNNN))))

Estas ferramentas podem revelar muitas informações sobre o estado dos serviços rodando em uma máquina. Estas ferramentas são flexíveis e podem prover uma riqueza de informações sobre os serviços e configurações da rede. Portanto, recomendamos fortemente que você consulte as páginas man do lsof, netstat, nmap e services.