Как понимать строку в отчёте команды netstat?

Question

[nowm]

Я запускаю в консоли Debian команду netstat -nputw и одна из строк содержит такие колонки:

Proto	tcp
Recv-Q	0
Send-Q	0
Local Address	192.168.1.[скрыто]:80
Foreign Address	[один из IP-адресов из AS22697 - Roblox, порт — пятизначное число]
State	SYN_RECV
PID/Program name	-

То есть, локальный адрес — это IP из моей локальной сети, порт 80. Далее, Foreign Address — это IP-адрес, который принадлежит компании Roblox c ASN 22697. Параметр State равен SYN_RECV — у меня с дремучих 2000-х, когда было интересно изучать TCP/IP, это ассоциируется с ДДОС-атаками, потому что когда ты видишь SYN_RECV, это значит, что кто-то кому-то прислал SYN, а потом не прислал ACK, и соединение висит, и поэтому ты смог SYN_RECV увидеть глазами. Процесс равен «-» — значит информация об ответственном процессе недоступна.

Из-за этого у меня появляется вопрос: это я участвую в ДДОС против серверов Roblox или это один из серверов Roblox участвует в ДДОС-атаке против меня? Немного непонятно, как читать отчёт netstat.

Answer 1

[AUser0]

Это коннектятся к вам. Сомневаюсь, что кто-то с 80 порта будет коннектиться наружу. И странно выглядит отсутствие процесса на порту. У всех подключений на 80-й порт процесс отсутствует? А с аргументом -ntlp?

Comments

[DollyPapper]

Отсутствующий процесс может означать, что недостаточно прав для просмотра, что это за процесс. Если под судо запустить нетстат, то вполне вероятно процесс станет известен.

[nowm]

AUser0 с `-ntlp` выводится 0.0.0.0:80 (local) и 0.0.0.0:* (foreign) для процесса nginx. Но у этого конкретного случая (который я в вопросе описал) нет процесса. То есть, я так понимаю, nginx ещё не начал обслуживать это соединение, потому что на более низком уровне TCP/IP ещё не все нужные телодвижения прошли.

В логах Nginx этот IP-адрес Roblox не встречается — я отдельно просмотрел всё, что мог. Получается, это не какой-то легитимный HTTP-запрос, серединку которого я нечаянно увидел в процессе установки TCP-соединения.

[nowm]

DollyPapper, я вроде бы от имени root запускал netstat. Другие строки в том же самом отчёте показывают корректные процессы.

[DollyPapper]

nowm, тогда странно, обычно это должно работать и процесс должен показываться. Я не эксперт в этом, но где-то читал, что руткиты могут скрывать процессы. Возможно стоит посмотреть в эту сторону.

[AUser0]

DollyPapper, ну вообще-то всё логично, на стадии TCP handshake соединение ещё не создано, оно только-только создаётся, соответственно и "владелец" ещё не выбран, а значит неизвестен...

[DollyPapper]

AUser0, не буду говорить, что понимаю как это работает на уровне ядра, но разве не приложение создает соединение в т.ч. создавая сокет? Почему оно неизвестно на момент TCP hanshake? И что значит "выбран"?

[AUser0]

DollyPapper, IMHO, не приложение формирует TCP-соединение со всеми его параметрами, это делает сетевая подсистема. Приложение про SYN и ACK не в курсе, оно получает уже готовое, инициированное соединение. Точно так же, как приложение не управлят непосредственно роутингом пакетов через gateway-и, это работа сетевой подсистемы. И да, приложение открывает сокет или порт, и в него таки попадают пакеты, пришедшие по инициированному соединению.

Answer 2

[meusov11]

Так ничего не определить. Через netstat можно определить только активные сетевые соединения.