Debian
偶爾打開埠的跟踪程序
在我管理的 Debian 伺服器上,我有一個 iptables 白名單防火牆。出於某種原因,一個程序似乎正在發送一堆未經授權的數據包,但我似乎無法確定是哪一個。
[1624382.821400] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=198.60.22.240 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=49824 DF PROTO=UDP SPT=59084 DPT=123 LEN=56 [1624382.821625] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=209.208.79.69 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=2620 DF PROTO=UDP SPT=60835 DPT=123 LEN=56 [1624382.821836] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=35.238.255.157 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=22984 DF PROTO=UDP SPT=39290 DPT=123 LEN=56 [1624382.822042] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=129.250.35.251 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=39284 DF PROTO=UDP SPT=53528 DPT=123 LEN=56 [1624413.404586] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=34.225.6.20 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=59854 DF PROTO=UDP SPT=51331 DPT=123 LEN=56
我查了一下,似乎有些東西正在嘗試使用 NTP,這很奇怪,因為我不記得設置任何東西來使用它。我假設 Debian 必須預設安裝一些東西,但我找不到任何文件。
它總是每 20-30 分鐘發送 5 個 udp 數據包。始終使用不同的 IP 地址。我想弄清楚哪個程序正在發送這些數據包,以便我可以信任或刪除它。我嘗試編寫一個腳本,但它似乎沒有擷取任何內容:
sudo tcpdump | grep ntp > 123.log &
任何人都知道我可以做些什麼來弄清楚是什麼發送了這些數據包?
UDP 上到目標埠 123 的流量很可能與 NTP 協議有關。在程序列表中檢查的名稱不僅包括,
ntpd
還包括其他 ntp 客戶端。chrony``systemd-timesyncd
https://help.ubuntu.com/lts/serverguide/NTP.html.en
由於SPT(源埠)變化,而DPT(目的埠)穩定,可以假設相關程序為NTP客戶端。但它也可能是一個 ntp 伺服器,它與更高級別的層伺服器同步。