服务器 Gind.cn
  1. 服务器 Gind.cn
  3. TCPDUMP =如何检测和分析“可疑”stream量到192.xxx地址?
Intereting Posts
设置IIS以要求客户端证书并使用匿名身份validation 在HP 1910交换机上configurationVLAN 计算机pipe理MMC的命令行界面? Get-ADGroupMember成功完成时不会返回任何内容 如何为大量的用户和消息构buildPostfix? 我如何知道Mercurial是否已安装? Windows 2008R2域控制器:名称parsing(主机文件,DNS)不起作用 稳定HP机架的支脚 太多内存使用index.php进程 inotifywait无效选项-d(守护进程) 创build内部托pipe的网站 当用户使用passwd更改LDAP密码时强制SHA Lync和会议电话 – 所有的客户都需要电话号码吗? 修改Active Directory属性的最大长度 获取python cgi脚本的权限被拒绝

TCPDUMP =如何检测和分析“可疑”stream量到192.xxx地址?

我只是玩了一点tcpdump(因为我想检查为什么我的邮件没有发送),从而发现了非常奇怪的和大量的“私人IP”的stream量。 请看下面的例子: 

05:11:23.639588 IP my.host.com.52822 > 192.168.114.56.www: S 4065505263:4065505263(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6> 05:11:23.639596 IP my.host.com.34872 > 192.168.110.57.https: S 4069841766:4069841766(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6> 05:11:26.087579 IP my.host.com.54247 > 192.168.114.56.81: S 4114834713:4114834713(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6> 05:11:26.087616 IP my.host.com.52828 > 192.168.114.56.www: S 4101565810:4101565810(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6> 05:11:26.727550 IP my.host.com.33281 > 192.168.110.56.https: S 4113254904:4113254904(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6> 05:11:26.727584 IP my.host.com.47730 > 192.168.114.57.www: S 4122721122:4122721122(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6> 05:11:27.647584 IP my.host.com.54252 > 192.168.114.56.81: S 4131156777:4131156777(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6> 05:11:27.647618 IP my.host.com.52833 > 192.168.114.56.www: S 4133704551:4133704551(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6> 05:11:27.647627 IP my.host.com.54254 > 192.168.114.56.81: S 4123314210:4123314210(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6> 05:11:27.647634 IP my.host.com.52835 > 192.168.114.56.www: S 4132548700:4132548700(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6> 05:11:27.647642 IP my.host.com.34885 > 192.168.110.57.https: S 4137809804:4137809804(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6> 05:11:30.091556 IP my.host.com.54260 > 192.168.114.56.81: S 4169604542:4169604542(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6> 05:11:30.091593 IP my.host.com.52841 > 192.168.114.56.www: S 4177065598:4177065598(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6> 05:11:30.731561 IP my.host.com.33294 > 192.168.110.56.https: S 4178586582:4178586582(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6> 05:11:30.731598 IP my.host.com.47743 > 192.168.114.57.www: S 4184486122:4184486122(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>

我会非常感谢你的build议,我可以进一步发现

1.)什么程序正在发送这个stream量

其次我有这个问题。 我怎样才能检查这个stream量是否会通过我的networking接口,所以它也会被“发送”到我的提供商的networking。 我的意思是这个问题是,这只是我的服务器内部的stream量,或者是这个stream量也“离开”我的服务器(它很可能会被我的ISP的路由器丢弃,但我不知道tcpdumps如何工作,如果显示的这个stream量是“内部”或“外部”stream量。

更新:我看了一下processstable,并杀死了一些进程,发现程序:它是一个代理服务器,我安装了…但问题仍然保持不变:有了上面给出的tcpdump这个例子,我怎么能进一步find这个程序是在不查看进程列表和查杀程序的时候造成这个stream量的。 而且问题是这个stream量“离开”我的服务器,或者这只是内部stream量

非常感谢你!!! 延

你可以看看互联网套接字和连接,以及sudo lsof -isudo netstat -nap46 。 您可以通过将-i $EXTERNAL_INTERFACE传递给tshark或tcpdump来查看stream量是否正在离开机器。

看来你正在你的机器上做tcpdump。 这样,您可以监视您的机器收到和发送的stream量。

如果你想知道这个stream量是否会离开你的服务器,你必须login到服务器并在那里运行tcpdump。

如果你想检查程序有一些特定的连接,你可以使用netstat -anp | grep <PORT> netstat -anp | grep <PORT>