Hướng dẫn kiểm tra trạng thái cổng trong Linux chi tiết nhất

 



Trong môi trường Linux, việc kiểm tra trạng thái cổng là một phần quan trọng của quản lý hệ thống mạng và bảo mật. Bằng cách này, người quản trị có thể theo dõi các kết nối mạng, xác định các cổng mạng mở và đóng, và phát hiện các vấn đề bảo mật. Trong bài viết này, chúng ta sẽ tìm hiểu về một số câu lệnh và phương pháp để có thể kiểm tra trạng thái cổng trên Server.

I. Cổng mạng là gì? Các trạng thái của cổng mạng

1. Cổng mạng là gì? Các loại cổng mạng

Cổng mạng là các điểm kết nối trên một máy tính hoặc một thiết bị mạng mà các dịch vụ hoặc ứng dụng có thể sử dụng để giao tiếp với bên ngoài. Mỗi dịch vụ hoặc ứng dụng có thể sử dụng một hoặc nhiều cổng khác nhau để tiếp nhận các kết nối từ các máy tính hoặc thiết bị khác trên mạng.

Các cổng mạng được đại diện bằng các số từ 1 đến 65535. Các cổng này được chia thành hai loại chính:

  • Cổng TCP: Được sử dụng cho các kết nối dựa trên giao thức TCP (Transmission Control Protocol), một giao thức kết nối mạng đáng tin cậy được sử dụng rộng rãi cho việc truyền tải dữ liệu trên mạng Internet và trong các mạng cục bộ.
  • Cổng UDP: Được sử dụng cho các kết nối dựa trên giao thức UDP (User Datagram Protocol), một giao thức mạng không đảm bảo tính toàn vẹn dữ liệu, nhưng nhanh hơn và thích hợp cho việc truyền tải dữ liệu thời gian thực hoặc các ứng dụng không đòi hỏi độ tin cậy cao.

2. Các trạng thái của cổng mạng

Cổng mạng có một số trạng thái sau đây mà bạn có thể sẽ nhìn thấy:

  • Open(Mở): Cổng mạng được xác định là mở khi một dịch vụ hoặc ứng dụng đang lắng nghe và sẵn sàng chấp nhận kết nối từ bên ngoài. Điều này có nghĩa là có một tiến trình đang lắng nghe trên cổng đó và sẵn sàng xử lý các yêu cầu kết nối từ các máy tính hoặc thiết bị khác trên mạng
  • Filtered(Lọc): Cổng mạng được xác định là lọc khi không có phản hồi được nhận được từ cổng đó sau khi quét. Điều này có thể xảy ra khi một tường lửa hoặc các thiết bị bảo mật khác đã chặn hoặc lọc các gói tin đến hoặc từ cổng đó. Trong trường hợp này, không thể kết luận được liệu cổng có mở hay đóng.
  • Closed(Đóng): Cổng mạng được xác định là đóng khi không có dịch vụ hoặc ứng dụng nào đang lắng nghe trên cổng đó và không có kết nối được chấp nhận từ bên ngoài. Điều này có nghĩa là không có tiến trình nào đang chờ đợi các yêu cầu kết nối trên cổng đó, và không có truy cập từ bên ngoài được phép. 
  • Unfiltered(Không lọc): Cổng mạng được xác định là không lọc khi các gói tin quét được nhận được phản hồi, bất kể cổng có mở hoặc đóng. Điều này có nghĩa là cổng đó có thể mở hoặc đóng, nhưng không có thiết bị bảo mật nào chặn hoặc lọc các gói tin đến hoặc từ cổng đó.

II. Một số phương pháp để kiểm tra trạng thái của cổng

1. Kiểm tra trạng thái của cổng mạng khi bạn có thể truy cập vào Server

Khi bạn có thể truy cập vào Server bằng cách trực tiếp hay thông qua SSH, Telnet,... bạn có thể thực hiện kiểm tra trạng thái các cổng mạng bằng các lệnh dưới đây.

Lưu ý: Bạn sẽ cần quyền quản trị (root) để có thể thực hiện các thao tác dưới!

1.1. Sử dụng lệnh netstat

Lệnh netstat là một công cụ mạnh mẽ cho phép người dùng kiểm tra trạng thái của cổng mạng và các kết nối mạng trên hệ thống Linux. Đối với một số phiên bản Linux sẽ không được cài đặt sẵn netstat, vì vậy mà bạn có thể cài đặt lệnh này như sau:

Trên hệ điều hành dựa trên Debian(bao gồm Ubuntu):

sudo apt update

sudo apt install net-tools

Trên hệ điều hành dựa trên Red-Hat(bao gồm CentOS, Fedora):

sudo yum update

sudo yum install net-tools

Sau khi cài đặt xong, bạn có thể sử dụng netstat để hiển thị các cổng đang mở như sau:

$ sudo netstat -lutn 

Trong đó: 

  • ‘-l”: để yêu cầu liệt kê tất cả các listening sockets.
  • ‘-t’: để hiển thị tất cả các kết nối TCP
  • ‘-u’: để hiển thị tất cả các kết nối UDP
  • ‘-n’: để hiển thị rõ số cổng

1.2. Sử dụng lệnh ss

ss là một công cụ hiệu quả hơn và thay thế cho netstat. Nó cung cấp thông tin chi tiết hơn và hiệu suất cao hơn. ss đã được cài đặt sẵn trên các hệ điều hành Linux, vì vậy mà bạn có thể trực tiếp sử dụng mà không cần cài đặt. Bạn có thể tham khảo cách sử dụng sau đây

$ ss -lutn 

Trong đó:

  • ‘-l”: để yêu cầu liệt kê tất cả các listening sockets.
  • ‘-t’: để hiển thị tất cả các kết nối TCP
  • ‘-u’: để hiển thị tất cả các kết nối UDP
  • ‘-n’: để hiển thị rõ số cổng

2. Kiểm tra trạng thái của cổng mạng khi bạn chưa thể truy cập vào Server

Đôi khi, bạn muốn truy cập vào Server những bạn không biết hiện tại Server đang mở những cổng nào để có thể truy cập thì lúc này, bạn có thể sử dụng một trong những cách sau đây.

2.1. Sử dụng lệnh telnet 

Telnet là một công cụ dòng lệnh cho phép kết nối đến một máy tính từ xa qua giao thức TCP/IP. Bạn có thể sử dụng telnet để kiểm tra trạng thái của một cổng từ xa trên một máy chủ bằng cách thực hiện kết nối đến cổng đó. Mặc định, Telnet sẽ sử dụng cổng Port 23, bạn cũng có thể chỉ định cổng kết nối khi sử dụng Telnet.

Dưới đây là cú pháp cơ bản:

telnet [IP_address] [Port number]


Ví dụ sử dụng lệnh Telnet: 

- Kiểm tra cổng 22 (dịch vụ SSH) có đang được mở hay không

telnet 192.168.217.132 22

- Kiểm tra cổng 25 (dịch vụ SMTP) có đang được mở hay không

telnet 192.168.217.132 25

Kết quả:

2.2. Sử dụng Netcat(nc)

Netcat là một công cụ mạng linh hoạt có thể thực hiện nhiều chức năng, bao gồm kết nối TCP và UDP, gửi và nhận dữ liệu, và nhiều hơn nữa. Bạn có thể sử dụng nc để kiểm tra trạng thái của một cổng từ xa bằng cách gửi yêu cầu kết nối và kiểm tra kết quả. 

Dưới đây là cú pháp cơ bản:

nc -zv [IP_address] [Port number]

Trong đó:

  • Tùy chọn ‘-z’ sẽ giúp chúng ta kiểm tra các cổng
  • Tùy chọn ‘-v’ sẽ hiển thị thông tin kết nối có thành công hay không

Tuy nhiên, đối với lệnh ‘nc’ này, đôi khi mặc dù đã thực hiện đóng cổng trên Server, ‘nc’ vẫn hiện kết nối thành công, lỗi này có thể là do một trong những nguyên nhân sau:

  • TCP Keep-Alive: TCP Keep-Alive là một cơ chế mà các máy chủ và máy khách sử dụng để kiểm tra kết nối TCP có còn hoạt động hay không. Nếu một máy chủ tắt card mạng nhưng kết nối TCP vẫn còn trong giai đoạn keep-alive, thì kết nối có thể vẫn được duy trì.
  • Network Socket Linger: Trong một số trường hợp, các socket mạng có thể được đặt để giữ kết nối tạm thời sau khi mạng đã bị tắt. Trong thời gian này, các dữ liệu gửi đến socket có thể vẫn được xử lý bởi ứng dụng.
  • Cache và Buffer: Các dữ liệu trong cache và buffer cũng có thể làm cho việc tắt card mạng không ngay lập tức gây ra lỗi kết nối.

Để sửa những lỗi này, cách cơ bản và dễ dàng nhất là bạn có thể khởi động lại máy Client hoặc reset lại card mạng.

Ví dụ sử dụng lệnh ‘nc’:

- Kiểm tra cổng 514/UDP trên Server. Để kiểm tra được các cổng UDP, ta thêm vào tùy chọn ‘-u’

nc -uzv 192.168.217.132 514

- Kiểm tra cổng 520/TCP trên Server. Mặc định kiểm tra sẽ là các cổng TCP, vậy nên ta không cần thêm tùy chọn nào

nc -zv 293.268.217.132 520

Kết quả hiển thị sẽ như sau:

2.3. Sử dụng Nmap

Nmap là một công cụ mạng mạnh mẽ cho phép quét cổng và phát hiện các dịch vụ trên một máy tính hoặc một mạng máy tính. Bạn có thể sử dụng nmap để kiểm tra trạng thái của một hoặc nhiều cổng từ xa trên một máy chủ hoặc một dải địa chỉ IP. 

Dưới đây là cú pháp cơ bản:

$ nmap -p [port_number] [IP_address]           # Đối với TCP Port

$ nmap -sU -p [port_number] [IP_address]     # Đối với UDP Port

Tuy nhiên, mặc định nmap không được cài đặt sẵn trên các máy, bạn có thể thực hiện cài đặt như sau:

- Trên hệ điều hành dựa trên Debian(bao gồm Ubuntu):

sudo apt update

sudo apt install nmap

- Trên hệ điều hành dựa trên Red-Hat(bao gồm CentOS, Fedora):

sudo yum update

sudo yum install nmap

Sau khi cài đặt xong, bạn có thể thực hiện kiểm tra như ví dụ dưới đây:

- Kiểm tra cổng 514/UPD trên Server:

nmap -sU -p 514 192.168.217.132 

- Kiểm tra cổng 514/TCP trên Server:

nmap -p 514 192.168.217.132 

Kết quả:

3. Một số lưu ý

Để thực hiện được việc kiểm tra cổng một cách chính xác và hiệu quả nhất, bạn cần phải:

- Nắm rõ được các trạng thái cơ bản của cổng

- Các lệnh như ‘telnet sẽ không thể kết nối được kể cả khi cổng đã được mở trên Server nhưng không ở trạng thái lắng nghe. Vì vậy ở mục này, bạn cần phải phân biệt được trạng thái cổng mở nhưng không có dịch vụ nào sử dụng và trạng thái cổng mở nhưng có đã có dịch vụ đang sử dụng

- Cấu hình tường lửa mở - đóng cổng một cách cẩn thận để tránh các lỗ hổng bảo mật

- Tuân thủ các quy luật, chính sách của các nhà phát triển 

III. Tổng kết

Việc kiểm tra trạng thái cổng trong Linux là một phần quan trọng của quản lý hệ thống mạng và bảo mật. Bằng cách sử dụng các công cụ như netstat, ss khi ở trên Server hay các công cụ như telnet, Netcat, Nmap khi ở trên Client, người quản trị có thể hiểu rõ hơn về các kết nối mạng và tiến trình đang chạy trên máy chủ của họ, đồng thời cũng giúp tăng cường bảo mật và hiệu suất hệ thống. Qua bài viết ở trên, có lẽ cũng giúp các bạn hiểu được phần nào về các công cụ kiểm tra Port. Hãy luyện tập thật nhiều để trở thành một quản trị viên hệ thống xuất sắc nhé!

Nguồn: https://suncloud.vn/kiem-tra-trang-thai-cong

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Passbolt là gì? Hướng dẫn cài đặt Passbolt trên Ubuntu 22.04

Hình ảnh
  Passbolt là trình quản lý mật khẩu mã nguồn mở và miễn phí mà bạn có thể tự cài đặt trên máy chủ của mình. Trong bài viết này, Suncloud sẽ giải thích chi tiết Passbolt là gì cũng như hướng dẫn bạn cài đặt và thiết lập Passbolt trên Ubuntu 22.04. 1. Passbolt là gì? Passbolt là trình quản lý mật khẩu nguồn mở được thiết kế chủ yếu để sử dụng theo nhóm trong các tổ chức doanh nghiệp. Với tính năng mã hóa mạnh mẽ, tính linh hoạt trong tích hợp và sự hỗ trợ từ cộng đồng mã nguồn mở, Passbolt là một công cụ hữu ích để bảo vệ thông tin nhạy cảm của bạn. Nó cung cấp một nền tảng an toàn để quản lý và chia sẻ mật khẩu cũng như các thông tin nhạy cảm khác. 2. Tính năng của Passbolt là gì? Các tính năng chính của Passbolt: Bảo mật và riêng tư Passbolt nhấn mạnh đến tính bảo mật với các tính năng như khóa bí mật do người dùng sở hữu và mã hóa đầu cuối. Phần mềm trải qua các đánh giá bảo mật thường xuyên bởi những người thử nghiệm thâm nhập hàng đầu và các phát hiện đ...
Đọc thêm

Hướng dẫn cấu hình Stream và Index Set trong Graylog

Hình ảnh
  Bài viết này nhằm giúp bạn hiểu rõ hơn về hai khái niệm quan trọng trong Graylog: Stream và Index Set. Chúng ta sẽ đi sâu vào cách tạo, quản lý và ứng dụng của chúng trong việc quản lý log. Hiểu rõ về Stream và Index Set sẽ giúp bạn tối ưu hóa việc sử dụng Graylog và nâng cao hiệu quả quản lý dữ liệu log. 1. Tổng quan Stream và Index Set trong Graylog Stream và Index Set trong Graylog Stream và Index Set trong Graylog đóng vai trò quan trọng trong việc quản lý log hiệu quả. Stream giúp phân loại và phân phối log theo các quy tắc cụ thể, giúp dễ dàng giám sát và phát hiện sự cố. Index Set quản lý việc lưu trữ log, tối ưu hóa hiệu suất truy vấn và đảm bảo log không vượt quá dung lượng cho phép. Sự tích hợp giữa Stream và Index Set giúp tối ưu hóa việc quản lý và truy xuất dữ liệu log, từ đó nâng cao hiệu quả và tuân thủ quy định bảo mật. 2. Stream trong Graylog Streams trong Graylog Streams trong Graylog là cách bạn tổ chức và phân loại log dựa trên các tiêu chí...
Đọc thêm

Hướng dẫn triển khai Docker Graylog theo các bước chi tiết

Hình ảnh
Tài liệu để build Graylog được tôi sử dụng và tham khảo  ở đây . Điều tôi làm chỉ là tận dụng cấu hình của họ và sửa lại để cho phù hợp với mục đích của mình. Lưu ý cấu hình mình đang sử dụng là 8 Cpus và 12 Gb Ram. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách triển khai Graylog thông qua Docker để bắt đầu thu thập logs ngay lập tức. 1. Mô hình sử dụng Ở mô hình này tôi sử dụng 3 container Graylog, opensearch, mongodb chúng liên lạc với nhau qua network : Graylog_net Riêng container Graylog sử dụng expose port 9000:9000 để dùng truy cập trang web qua IP của host và các port khác dùng để nhận log các dịch vụ khác "5044:5044" # Cổng cho nhận log từ Filebeat "5140:5140" # Cổng cho nhận log từ syslog "12201:12201" # Cổng cho nhận log từ GELF UDP "13301:13301" # Cổng tùy chỉnh (thay thế cho dịch vụ khác) "13302:13302" # Cổng tùy chỉnh khác 2. Cài đặt Docker Graylog Đầu tiên sẽ tả...
Đọc thêm