Linux-Networking
Ubuntu 在哪裡記錄 TCP 連接?
在為我的辦公室 PC 進行一些網路安全檢查(我是業餘愛好者)時,我發現了一些未知的 tcp6 連接(帶有
netstat -nt):Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State ... (omitted known connections) tcp6 0 0 aaa.bbb.ccc.ddd:1716 aaa.bbb.ccc.eee:55714 ESTABLISHED tcp6 0 0 aaa.bbb.ccc.ddd:60810 aaa.bbb.ccc.fff:1716 ESTABLISHED
aaa.bbb.ccc.ddd我自己的ip在哪裡。另外兩個未知 ip 確實來自同一個子網,但我不知道為什麼打開這些連接。問題:
- 我在哪裡可以找到這些連接的日誌,例如,誰初始化了連接以及它們是如何被允許/授權的(如果這是正確的詞)?
- 這是網路攻擊的跡象嗎?因為我不記得使用任何需要來自同一子網的 tcp 連接的服務。此外,我已經重新啟動了幾次,這些連接似乎總是自動彈出。
- 如果這表明任何可能的不安全感,我該怎麼辦?
更新:根據@larsks 和@ NikitaKipriyanov 的建議,我發現這些連接是由 kdeconnect 建立的,它會掃描可用設備以在本地網路中配對。但它只是維護這樣一個列表而沒有實際配對,所以此時不應該有任何安全問題。
我在哪裡可以找到這些連接的日誌,例如,誰初始化了連接以及它們是如何被允許/授權的(如果這是正確的詞)?
這個問題真的沒有一個普遍的答案。
此類資訊的記錄取決於特定的應用程序(例如,對於 Web 伺服器,您可能會有某種訪問日誌,而
ssh預設情況下會記錄到系統日誌中)。這是網路攻擊的跡象嗎?
這裡沒有足夠的資訊來做出這個決定。考慮執行
sudo netstat -tnp(這-p將顯示與每個連接關聯的程序;這sudo是查看目前使用者不擁有的程序所必需的)。如果您對此命令的輸出有疑問,請更新您的問題以包含輸出。
如果這表明任何可能的不安全感,我該怎麼辦?
對妥協的一般反應是 (a) 確定允許進入的內容,然後 (b) 擦除並重新安裝系統,以及 (c) 確保新配置不允許相同的訪問方法。
但正如我之前所說,目前還沒有足夠的資訊來確定這是否值得擔心。