偶爾打開埠的跟踪程序

在我管理的 Debian 伺服器上，我有一個 iptables 白名單防火牆。出於某種原因，一個程序似乎正在發送一堆未經授權的數據包，但我似乎無法確定是哪一個。

[1624382.821400] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=198.60.22.240 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=49824 DF PROTO=UDP SPT=59084 DPT=123 LEN=56 
[1624382.821625] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=209.208.79.69 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=2620 DF PROTO=UDP SPT=60835 DPT=123 LEN=56 
[1624382.821836] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=35.238.255.157 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=22984 DF PROTO=UDP SPT=39290 DPT=123 LEN=56 
[1624382.822042] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=129.250.35.251 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=39284 DF PROTO=UDP SPT=53528 DPT=123 LEN=56 
[1624413.404586] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=34.225.6.20 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=59854 DF PROTO=UDP SPT=51331 DPT=123 LEN=56

我查了一下，似乎有些東西正在嘗試使用 NTP，這很奇怪，因為我不記得設置任何東西來使用它。我假設 Debian 必須預設安裝一些東西，但我找不到任何文件。

它總是每 20-30 分鐘發送 5 個 udp 數據包。始終使用不同的 IP 地址。我想弄清楚哪個程序正在發送這些數據包，以便我可以信任或刪除它。我嘗試編寫一個腳本，但它似乎沒有擷取任何內容：

sudo tcpdump | grep ntp > 123.log &

任何人都知道我可以做些什麼來弄清楚是什麼發送了這些數據包？

UDP 上到目標埠 123 的流量很可能與 NTP 協議有關。在程序列表中檢查的名稱不僅包括，ntpd還包括其他 ntp 客戶端。chrony``systemd-timesyncd

https://help.ubuntu.com/lts/serverguide/NTP.html.en

由於SPT（源埠）變化，而DPT（目的埠）穩定，可以假設相關程序為NTP客戶端。但它也可能是一個 ntp 伺服器，它與更高級別的層伺服器同步。

引用自：https://serverfault.com/questions/937047