求救！！！我的ubuntu总是随机开放奇怪的端口

[staryi]

首先，我并不是初学者，因为这里人气相对比较旺，所以就在这里发了。
问题如下：
用ubuntu8。04自带的网络工具扫描本机端口，会发现随机的开放3xxxx,4xxxx,5xxxx的端口，不知道是否正常。
以前的6。06可没有这种现象。

用nc -zv localhost 1-65535 结果一样。
第一次
localhost [127.0.0.1] 49006 (?) open
localhost [127.0.0.1] 34386 (?) open

第二次
localhost [127.0.0.1] 44313 (?) open
localhost [127.0.0.1] 41340 (?) open
localhost [127.0.0.1] 41078 (?) open
localhost [127.0.0.1] 34386 (?) open
反正每次都不一样。

应该不是被装了rootkit，系统刚装的时候就有这个“问题”。
这是内核的新特性么？
相信肯定有很对TX存在和我一样的疑问，希望了解的TX给我解答。
迷惑ING!!!

ps:在论坛里也搜到了一个帖子，不过好像没有答案啊，供参考。
viewtopic.php?f=123&t=94682&start=0&st= ... F%E5%8F%A3

[skyx]

看下是哪个程序在用这些端口嘛。

[cnkilior]

关键是那些程序使用了这些端口。

例如浏览器（他并不是使用80端口哦，而是系统随机分配的）

[staryi]

sudo netstat -nltup

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:34386 0.0.0.0:* LISTEN 6504/gdl_indexer（google desktop search）

这个是固定的，所以能看到，但是那些是不固定的，用这个命令看不到。
我关心的就是那些看不到的。
楼上两位没有这个问题？你们用的是什么版本的u

[staryi]

普通的木马都是开放单一固定的端口提供连接，因此很容易发现。
但是，从技术的角度来考虑，以一定的规律，一定的时间间隔开放随机的端口提供连接也是完全可行的。

假设，如果这是某个黑客高手在内核级制造的后门，我们如何应对？
都说linux比较透明，但是如果技术不够好，反倒感觉不透明，不放心。
总是听别人说小u如何如何的安全，所以自己一直都很放心。
除了这块心病。

[staryi]

sudo netstat -antpl

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:34386 0.0.0.0:* LISTEN 14754/gdl_indexer
tcp 0 1 61.217.106.139:37231 58.30.18.52:80 LAST_ACK - (为什么PID/Program name是-，我就纳了闷)
tcp 0 0 127.0.0.1:35857 127.0.0.1:35857 TIME_WAIT -
tcp 0 0 127.0.0.1:42313 127.0.0.1:34386 TIME_WAIT -

[staryi]

sudo lsof -i :`netstat -ant|grep -v 34386|awk '{if($1 == "tcp") print $4}'|cut -f2 -d ":"`

lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /home/xxxx/.gvfs
Output information may be incomplete.
lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /home/xxxx/.gvfs
Output information may be incomplete.
lsof: status error on 49151: No such file or directory
lsof: status error on 51137: No such file or directory
lsof: status error on 52056: No such file or directory
lsof: status error on 59845: No such file or directory
lsof: status error on 47001: No such file or directory
lsof: status error on 59225: No such file or directory
lsof: status error on 42150: No such file or directory
lsof: status error on 59261: No such file or directory
lsof: status error on 38553: No such file or directory
lsof 4.78
latest revision: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/
latest FAQ: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/FAQ
latest man page: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/lsof_man
usage: [-?abhlnNoOPRstUvVX] [+|-c c] [+|-d s] [+D D] [+|-f]
[-F [f]] [-g ] [-i ] [+|-L [l]] [+m [m]] [+|-M] [-o ]
[-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
Use the ``-h'' option to get more help information.

以上信息，我也不明白。
难道，大家真的没有发生这些问题么？还是都不当回事儿？
我服了！

[cnkilior]

你可以用ethereal抓一下包。。

[staryi]

你可以用ethereal抓一下包。。

不是很明白。
不知道用ethereal能有什么用？
我倒是按照你的建议抓了一下包，不过都是我自己发的ping包啊。

我现在关注的是为什么会产生随机的监听端口，还有是不是只有我的系统存在这种情况。

－－－－－－－－－－－－－－－－－－－－－－－－
不好意识，不是ping包，是扫描端口时发的包。
给点其他的建议吧，我是真的不会用ethereal呀。

[自由建客]

不开端口，应用程序怎么通信呀！
正常现象。

[BigSnake.NET]

sudo netstat -atnpl

贴结果

[fei6643]

换个发行版，比如opensuse 11，非常好。

[想入非非]

不用专门说明你不是新手吧。。。随即端口开放的话，还真是不好禁用

[staryi]

感谢楼上所有给我帮助的tx。
前段时间不知道怎么了，论坛一直不能访问（昨晚还是），所以一直也没来。

sudo netstat -atnpl
激活Internet连接 (服务器和已建立连接的)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.1.5:34052 192.168.1.5:34052 TIME_WAIT -
tcp 0 0 192.168.1.5:46907 192.168.1.5:46907 TIME_WAIT -
tcp 0 0 192.168.1.5:43748 192.168.1.5:43748 TIME_WAIT -

PID/Program name 部分还是 - ，没办法。