Cách kiểm tra các cổng mở trong Linux

Khi đang khắc phục sự cố mạng hoặc tìm cách cải thiện bảo mật cho máy tính Linux, bạn cần biết cổng nào đang mở. Bài viết này sẽ chỉ cho bạn một số cách để kiểm tra cổng mở trong Linux.

Cổng (port) là gì?

Cổng mạng là các điểm truy cập hợp lý của hệ thống có thể được sử dụng làm kênh để host nhiều service. Cổng là một số 16-bit (0-65.535) để giúp xác định một ứng dụng nhất định hoặc tiến trình trên hệ điều hành Linux (Unix). Mỗi một ứng dụng có cổng khác nhau trên hệ thống Linux.

Bạn có thể coi các cổng giống như cửa sổ và cửa ra vào của một ngôi nhà - về cơ bản là tất cả các điểm vào khác nhau của một ngôi nhà hoặc máy tính. Các cổng được chia làm 3 loại.

Dưới đây là các loại cổng khác nhau :

• 0 - 1023 - Được gọi là cổng phổ biến (Well Known Port)
• 1024 - 49151 – Được gọi là cổng đăng ký (Registered Port)
• 49152 - 65535 - Được gọi là cổng động (Dynamic Port)

Khi bạn khởi động một ứng dụng yêu cầu kết nối với Internet, nó sẽ sử dụng các cổng động để truyền và nhận dữ liệu qua mạng. Tuy nhiên, khi bạn khởi động web server hoặc máy chủ SSH, nó thường liên kết với các cổng hệ thống hoặc cổng đã đăng ký.

Đối với các web server phục vụ HTTP, cổng hệ thống mặc định là 80 và đối với SSH là 22. Các quy định, chẳng hạn như phạm vi của những cổng, được phát triển bởi Internet Assigned Numbers Authority (IANA). Bạn có thể xem qua RFC liên quan đến các cổng để có danh sách đầy đủ tất cả các cổng và chức năng của chúng.

Điều quan trọng là bạn phải biết các cổng dễ bị tấn công nhất để có thể đảm bảo chúng được đóng hoặc bảo vệ. Sử dụng lệnh sau để hiển thị danh sách các ứng dụng và cổng trên Terminal:

cat /etc/services

TCP: TCP là viết tắt của Transmission Control Protocol. Đây là giao thức được sử dụng phổ biến nhất trên Internet. TCP không chỉ giao tiếp một chiều, thay vào đó nó sẽ gửi các gói trở lại để xác nhận rằng nó nhận được các gói tin của bạn.

UDP: viết tắt của User Datagram Protocol. Nó là một giao thức giao tiếp thay thế cho TCP. Giao thức UDP hoạt động tương tự như TCP. Tuy nhiên, nó bỏ qua tất cả các công cụ kiểm tra lỗi. UDP cần thiết khi muốn tăng tốc mà không quan tâm đến sửa lỗi.

SOCKET: Socket cho phép giao tiếp từ hai tiến trình khác nhau trên cùng một máy hoặc trên các máy khác nhau.

• Làm thế nào để bảo vệ các cổng mạng có tính rủi ro cao?

Hãy xem xét các cách khác nhau để liệt kê một cổng mở trong Linux.

1. Lệnh Netstat

Trong phương thức này, chúng ta sẽ sử dụng lệnh netstat -atu để kiểm tra các cổng mở trong Linux.

Ở đây chúng ta sử dụng cờ -a, -t và -u cho netstat.

• -a: hiển thị tất cả các socket
• -t: hiển thị kết nối TCP
• -u: hiển thị kết nối UDP

Bạn cũng có thể thêm cờ -p để hiển thị PID của tên chương trình hoặc tiến trình liên quan.

Để chỉ hiển thị các cổng UDP, bạn có thể sử dụng lệnh sau:

netstat -vaun

Ngoài ra, bạn có thể sử dụng lệnh sau để tìm kiếm các cổng TCP:

netstat -vatn

2. Lệnh lsof

Thay vì sử dụng netstat, chúng ta có thể sử dụng lệnh lsof để hiển thị các cổng mở trong Linux:

lsof -i

Lệnh sau cũng có thể hiển thị các socket mở:

lsof -n -P | grep LISTEN

Ngoài ra, bạn có thể sử dụng lệnh dưới đây để liệt kê tất cả các kết nối TCP:

lsof -i tcp

Bạn có thể sử dụng lệnh sau đây cho các kết nối UDP:

lsof -i udp

3. Lệnh nmap

Trong phương pháp này, chúng ta sẽ sử dụng nmap để phát hiện cổng mở trên hệ thống Linux. Sử dụng lệnh sau để hiển thị các kết nối cổng TCP:

nmap -sT -O localhost

Cuối cùng, để hiển thị các kết nối cổng UDP, chúng ta có thể sử dụng lệnh sau:

nmap -sU localhost

4. Kiểm tra các cổng mở bằng netcat

Netcat (hay nc) là một công cụ dòng lệnh có thể đọc và ghi dữ liệu qua các kết nối mạng, sử dụng giao thức TCP hoặc UDP.

Với netcat, bạn có thể quét một cổng hoặc một dải cổng.

Ví dụ, để quét các cổng TCP đang mở trên một máy từ xa có địa chỉ IP 10.10.8.8 trong phạm vi 20 - 80, bạn sẽ sử dụng lệnh sau:

nc -z -v 10.10.8.8 20-80

Tùy chọn -z yêu cầu nc chỉ quét các cổng đang mở mà không gửi bất kỳ dữ liệu nào và -v là để biết thêm thông tin chi tiết.

Đầu ra sẽ giống như sau:

nc: connect to 10.10.8.8 port 20 (tcp) failed: Connection refused
nc: connect to 10.10.8.8 port 21 (tcp) failed: Connection refused
Connection to 10.10.8.8 22 port [tcp/ssh] succeeded!
...
Connection to 10.10.8.8 80 port [tcp/http] succeeded!

Nếu bạn chỉ muốn xuất các dòng có cổng mở trên màn hình, hãy lọc kết quả bằng lệnh grep.

nc -z -v 10.10.8.8 20-80 2>&1 | grep succeeded
Connection to 10.10.8.8 22 port [tcp/ssh] succeeded!
Connection to 10.10.8.8 80 port [tcp/http] succeeded!

Để quét các cổng UDP, hãy đưa tùy chọn -u vào lệnh nc:

nc -z -v -u 10.10.8.8 20-80 2>&1 | grep succeeded

5. Kiểm tra các cổng đang mở bằng Bash Pseudo Device

Một cách khác để kiểm tra xem một cổng nhất định đang mở hay đã đóng là sử dụng Bash shell pseudo-device /dev/tcp/.. hoặc /dev/udp/...

Khi thực thi lệnh trên pseudo-device /dev/$PROTOCOL/$HOST/$IP, Bash sẽ mở kết nối TCP hoặc UDP đến host trên cổng được chỉ định.

Câu lệnh if..else sau đây sẽ kiểm tra xem cổng 443 trên kernel.org có đang mở hay không:

if timeout 5 bash -c '</dev/tcp/kernel.org/443 &>/dev/null'
then
echo "Port is open"
else
echo "Port is closed"
fi

Đầu ra:

Port is open

Đoạn code trên hoạt động như thế nào?

Khi kết nối với một cổng bằng pseudo-device (pseudo-device thường nằm trong /dev, giống như file thiết bị, nhưng thay vì đóng vai trò là cầu nối giữa hệ điều hành và phần cứng, chúng là driver thiết bị (mà không có thiết bị thực tế), thường phục vụ một mục đích thực tế, chẳng hạn như tạo ra dữ liệu ngẫu nhiên hoặc hoạt động như một lỗ hổng ảo cho dữ liệu không mong muốn), thời gian chờ mặc định là rất lớn, vì vậy ví dụ đang sử dụng lệnh timeout để hủy lệnh test sau 5 giây. Nếu kết nối được thiết lập đến cổng 443 kernel.org, lệnh test sẽ trả về true.

Để kiểm tra một dải cổng, hãy sử dụng vòng lặp for:

for PORT in {20..80}; do
timeout 1 bash -c "</dev/tcp/10.10.8.8/$PORT &>/dev/null" && echo "port $PORT is open"
done

Đầu ra sẽ giống như sau:

port 22 is open
port 80 is open

6. Kiểm tra các cổng đang mở bằng lệnh ss

ss là phiên bản hiện đại của công cụ netstat. Bạn sẽ thấy công cụ này được cài đặt sẵn trong tất cả các bản phân phối Linux hiện đại. Cú pháp kiểm tra các cổng đang mở với ss giống hệt với netstat.

Đây là cách kiểm tra các cổng đang mở với ss:

ss -tuln

Giải thích lệnh:

• -t hiển thị các cổng TCP.
• -u hiển thị các cổng UDP.
• -l hiển thị các cổng nghe. Thay thế cái này bằng a nếu bạn muốn xem tất cả các cổng, bất kể trạng thái của chúng.
• -n hiển thị giá trị số của các cổng thay vì phân giải thành tên service. Ví dụ, hiển thị cổng 21 thay vì FTP, tức là service đang chạy trên cổng.

Khi nói đến bảo mật của máy tính Linux, điều đầu tiên cần làm là đóng tất cả các cổng không cần thiết để ngăn chặn truy cập bên ngoài. Với các phương thức được liệt kê ở trên, bạn sẽ có thể dễ dàng kiểm tra các cổng mở trên hệ thống Linux và xác định cổng nào sẽ đóng hoặc mở.

Chúc các bạn thực hiện thành công!

Xem thêm:

• Hướng dẫn thao tác với mạng cho người dùng Linux: 11 câu lệnh cần biết
• 5 công cụ kiểm tra mạng Linux
• Kiểm tra lưu lượng mạng Linux bằng vnStat