지금 뭐가 listen 하는지 진짜로 알아내는 법

~15 min · lsof, ss, audit

Level 0Greenhorn

0 XP0/53 lessons0/14 achievements

0/100 XP to next level100 XP to go0% complete

네트워크 surface 를 *보지 않고* 추론할 수 없어. 세 명령이 "지금 뭐 노출됐어?" 답해.

1. `lsof -i` — 어떤 프로세스가 listen

fresh login 에서 돌려. 놀랄 거야. 흔한 범인: 0.0.0.0:8888 의 잊혀진 Jupyter, 0.0.0.0:11434 의 Ollama, 3주 전 닫은 프로젝트의 0.0.0.0:5173 Vite dev server.

2. `ss -tlnp` (Linux) — 같은 아이디어, 모던 툴

3. 외부에서 — 실제 도달 가능한 게 뭔지

bind 된 거랑 라우터가 실제로 forward 하는 거랑 다른 얘기. 셀룰러 폰에서 (Wi-Fi 아님) suspect 포트 도달성 테스트.

4. 분기별 audit

캘린더 reminder 설정. 90일마다 안에서 lsof 돌리고 밖에서 포트 스캔. 지난 분기랑 비교. 새로운 거 있으면 왜 열었는지 잊기 전에 이해할 가치.

Code

Listening 소켓 (macOS / Linux)·bash

# macOS / Linux: binding interface 와 함께 listening 포트 리스트
sudo lsof -iTCP -sTCP:LISTEN -P -n

# *:PORT      찾아 — 별표는 0.0.0.0 (모든 곳)
# 127.0.0.1:PORT 찾아 — loopback 만 (안전)
# 100.64.x.x:PORT 찾아 — Tailscale 만 (안전)
# 192.168.x.x:PORT 찾아 — LAN 만 (중간)

Linux ss 대안·bash

sudo ss -tlnp
# tlnp = TCP, listening, numeric, processes

외부 도달성 테스트 (셀룰러에서, Wi-Fi 아님)·bash

# 네 public IP 사용 (집 네트워크에서 https://ifconfig.me 로 찾아)
nc -zv YOUR_PUBLIC_IP 8888 11434 5432 22 80 443

# 또는 며칠 후 https://www.shodan.io/host/YOUR_PUBLIC_IP
# Shodan 은 변화 후 몇 시간 안에 IP 재스캔

External links

Exercise

지금 당장 dev 머신에서 sudo lsof -iTCP -sTCP:LISTEN -P -n 돌려. *:PORT (즉, 0.0.0.0) 로 bind 된 row 세. 각각: 의도적이야? 아니면 더 좁은 bind 로 서비스 재시작. 리스트는 보통 예상보다 길어.

Progress

Progress is local-only — sign in to sync across devices.

← Previous튜토리얼이 0.0.0.0 말하는 이유 (그리고 너한테는 틀린 이유)Next →Gotcha — IPv6, UPnP, 'localhost 만' 거짓말

이 페이지에서 버그를 발견하셨거나 피드백이 있으세요?문제 신고

🔔 답글 알림 (로그인 필요)

로그인 — 댓글을 남기려면 로그인해 주세요.

아직 댓글이 없어요. 첫 댓글을 남겨보세요.