服务器 Gind.cn
  1. 服务器 Gind.cn
  3. iftop显示了许多神秘的连接 – 不显示在netstat
Intereting Posts
Debian,如何将文件系统从ISO-8859-1转换为UTF-8? 为什么在使用–flush-logs执行mysqldump的时候,mysql slave会死掉? 使用本机IPv6只使用一个/ 64块设置mikrotik路由器 configuration基本的Windows授权鱿鱼,但鱿鱼仍然拒绝访问后input正确的用户名/密码 Apache2:使用RewriteCond&RewriteRule在查询string中匹配重音字符的问题 如何隐藏Apache2在浏览器中使用的端口? PC中的服务器机架与服务器“Towers” 用户configuration文件不断加载TEMPconfiguration文件 Systemd插件无法创buildPID文件 D-link DAP-2590 VLANconfiguration 在局域网中的第二个路由器上的OpenVPN服务器 Exchange 2010 SP3更新汇总8 – Outlook NDR错误 如何防止autofs挂载在特定的目录? Sharepoint极其缓慢。 从哪里开始 从Ubuntu服务器连接到MS SQL Server

iftop显示了许多神秘的连接 – 不显示在netstat

我刚刚停止了所有服务,除了服务器上的sshd(Ubuntu Server 10.04)以外,当我运行iftop时,我得到的输出如下所示: 

12.5Kb 25.0Kb 37.5Kb 50.0Kb 62.5Kb └────────────────┴─────────────────┴────────────────┴─────────────────┴───────────────── flash.gateway.2wire.net:ssh <=> 172.16.1.151:60405 1.75Kb 1.54Kb 2.22Kb flash.gateway.2wire.net:21095 <=> 69.127.29.20:32582 536b 107b 27b flash.gateway.2wire.net:21095 <=> 190.164.122.134:13557 0b 105b 26b flash.gateway.2wire.net:21095 <=> 79.165.212.195:45138 0b 105b 26b flash.gateway.2wire.net:21095 <=> 151.42.15.151:9031 0b 72b 18b flash.gateway.2wire.net:21095 <=> 88.185.120.179:51413 0b 0b 49b flash.gateway.2wire.net:21095 <=> 178.120.152.97:25924 0b 0b 29b flash.gateway.2wire.net:21095 <=> 109.110.217.77:27868 0b 0b 26b flash.gateway.2wire.net:21095 <=> 84.13.201.90:16509 0b 0b 26b flash.gateway.2wire.net:21095 <=> 171.7.125.224:11777 0b 0b 26b flash.gateway.2wire.net:21095 <=> 115.177.164.170:21360 0b 0b 26b flash.gateway.2wire.net:21095 <=> 50.88.126.18:25540 0b 0b 25b flash.gateway.2wire.net:21095 <=> 223.206.230.163:13431 0b 0b 25b flash.gateway.2wire.net:21095 <=> 78.144.187.26:24515 0b 0b 25b flash.gateway.2wire.net:21095 <=> 83.20.61.211:27572 0b 0b 25b flash.gateway.2wire.net:21095 <=> 82.134.151.42:18448 0b 0b 18b flash.gateway.2wire.net:21095 <=> 126.117.95.247:25316 0b 0b 18b flash.gateway.2wire.net:21095 <=> 116.202.65.230:9044 0b 0b 18b flash.gateway.2wire.net:21095 <=> 88.120.63.205:51413 0b 0b 17b ──────────────────────────────────────────────────────────────────────────────────────── TX: cumm: 61.6KB peak: 8.00Kb rates: 1.59Kb 1.38Kb 2.04Kb RX: 18.4KB 1.64Kb 696b 549b 640b TOTAL: 80.0KB 9.64Kb 2.27Kb 1.92Kb 2.66Kb

这是netstat -a输出的第一部分(不是unix socket部分): 

 Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:ssh *:* LISTEN tcp 0 0 *:55677 *:* LISTEN tcp 0 0 flash.gateway.2wire:ssh 172.16.1.151:60405 ESTABLISHED tcp 0 48 flash.gateway.2wire:ssh 172.16.1.151:60661 ESTABLISHED tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 *:37790 *:*

21095港口上所有这些奇怪的连接是什么? 为什么他们不会出现在netstat? 任何build议将不胜感激。

iftop使用pcap (数据包捕获)查看所有通过接口的数据包。

netstat显示机器上的套接字。

任何转发给其他主机的数据包都将显示在前者中,而不是后者。

看起来所有发现到端口21095的数据包几乎都是单独的。 这可能是失败的连接尝试。

这些肯定是失败的连接尝试。 用tcpdump ; 你应该看到它们以及你的主机的ICMP端口不可访问(因为你没有任何东西在监听端口): 

 01:58:31.471535 IP some.remote.host.24053 > your.local.host.21095: UDP, length 35 01:58:31.472006 IP your.local.host > some.remote.host: ICMP your.local.host udp port 21095 unreachable, length 71

(例如假设是UDP)