当我做了一些监控我的服务器的networking活动,使用netstat -na,在一秒我注意到下一个,对我来说奇怪的线:
首先是:
tcp 0 0 XXX.XXX.XXX.XXX:22 YYY.YYY.YYY.YYY:48085 SYN_RECV 几秒钟后,我注意到:
udp 0 0 XXX.XXX.XXX.XXX:34151 YYY.YYY.YYY.YYY:33486 ESTABLISHED udp 0 0 XXX.XXX.XXX.XXX:34152 YYY.YYY.YYY.YYY:33487 ESTABLISHED udp 0 0 XXX.XXX.XXX.XXX:34153 YYY.YYY.YYY.YYY:33488 ESTABLISHED udp 0 0 XXX.XXX.XXX.XXX:34157 YYY.YYY.YYY.YYY:33492 ESTABLISHED udp 0 0 XXX.XXX.XXX.XXX:34158 YYY.YYY.YYY.YYY:33493 ESTABLISHED udp 0 0 XXX.XXX.XXX.XXX:34160 YYY.YYY.YYY.YYY:33494 ESTABLISHED
这是有人试图连接使用SSH? 什么是第二部分,什么时候build立连接?
另一个奇怪的是我所有的端口1024-65535都是用iptablesclosures的。
请帮忙!
第二组是UDP,因此与SSH无关。 端口build议traceroute给我,通常每个手册页开始33434端口。 find连接后,您是否跟踪了他的IP?
首先是有人试图通过SSH连接到你的机器。
如果不知道哪个程序在连接的末端,就不可能完全知道第二组是什么。 他们是出站连接,因为你说入站连接已被拒绝通过iptables。