Cosa fa#
Definisce il significato degli indirizzi IP speciali e dei simboli usati dai tool di rete (ss, netstat, lsof) per indicare la raggiungibilità di un servizio sul sistema.
TL;DR#
| Esempio | Significato | Raggiungibilità |
|---|---|---|
127.0.0.1:22 | SSH su Localhost | SOLO interna (Sicuro) |
0.0.0.0:22 | SSH su IPv4 Any | Tutta Internet/LAN (Esposto) |
[::]:22 | SSH su IPv6 Any | Tutta Internet/LAN (Esposto) |
Dettaglio Indirizzi#
1. 0.0.0.0:22 (IPv4 Any)#
- Significato: Il servizio SSH è in ascolto su tutte le interfacce IPv4 della macchina.
- Implicazione SOC: Se il server ha un IP pubblico, chiunque può provare a bussare alla porta 22. È l'impostazione standard, ma richiede monitoraggio costante (brute force).
2. [::]:22 (IPv6 Any)#
- Significato: Identico a
0.0.0.0:22, ma per lo stack IPv6. - Nota Dual-Stack: In molti sistemi Linux moderni, se vedi solo
[::]:22, il servizio sta accettando connessioni sia IPv4 che IPv6 contemporaneamente.
3. 127.0.0.1:3306 / 127.0.0.53:53 (Loopback)#
- Significato: Il servizio (es. MySQL o DNS locale) ascolta solo sull'interfaccia interna.
- Implicazione SOC: È una configurazione di sicurezza corretta per servizi che non devono parlare con l'esterno. Se vedi un database su
0.0.0.0, è un rischio grave.
4. 0.0.0.0:* o [::]:* (Wildcard)#
- Significato: L'asterisco
*indica che il socket è pronto a ricevere traffico da qualunque porta sorgente. È normale per i servizi in ascolto (server).
Scenario Reale#
Se durante un'investigazione vedi:
ESTAB 0 0 192.168.1.10:22 203.0.113.5:54321
Significa che un IP esterno (203...) è connesso al tuo SSH (:22) perché eri in ascolto su 0.0.0.0:22.
Collegato a#
- log — Hub Categoria
- investigazione-linux — Per interpretare l'output dei comandi
- ip-addressing-subnetting — Concetti base IP
