Linux
我在 linux 中有一個涉及埠 631 的環回流量,但我不知道是什麼原因造成的
所以我在我的網路中做了一些數據包擷取,除了這個奇怪的通信,源和目標實際上是 127.0.0.1,源埠是 631,目標埠是一個連續遞增的數字,每次發生交換時,其他一切都很好.
我已經禁用了所有預設偵聽的服務,例如 cups、avahi-daemon 等,甚至實際上解除安裝了 cups,因為我真的不需要它。所以我真的不知道是什麼導致了這種流量。我對埠 631 進行了搜尋,我所看到的只是與列印/列印機相關的結果,這對我的情況沒有幫助。
有人可以幫我解開這個謎團嗎?這是 pcaps:
當流量試圖通過環回介面中的埠 631/tcp 流動時,我相信本地程序正在嘗試聯繫 CUPS 守護程序並列印一些東西。不幸的是,我無法從提供的 PCAP 文件中獲得有關它的其他資訊,因為擷取的 TCP 數據包都沒有傳送有效負載。我只能看到一個程序在出現故障並使用新的重試後可能正在關閉連接套接字。
前段時間我遇到了類似的問題。為了從試圖頻繁建立與關閉的本地埠的連接的程序中收集資訊,我使用了以下策略:
- honeypot技術
在終端選項卡中,我啟動了一個ncat程序,監聽埠 631/tcp 上的連接:
# ncat -l -p 631 -k -vv
然後,在另一個終端選項卡中,我執行了一個即時 Bash 腳本,收集有關連接到埠的程序的資訊:
# while sleep 0.1; do ss -tapen state established 'dport = 631' > output.txt ; fgrep -wq 631 output.txt && cat output.txt; done
- IPTABLES/NFTABLES 日誌記錄
我在 OUTPUT 鏈中創建了一個即時 IPTABLES/NFTABLES 規則,將連接資訊記錄到 SYSLOG:
# iptables -I OUTPUT -p tcp --syn --dport 631 -j LOG --log-prefix 'WHOIS? ' --log-level warning --log-uid
# nft insert rule ip filter OUTPUT tcp dport 631 tcp flags '&(fin|syn|rst|ack)' == syn counter log prefix '"WHOIS? "' level warn flags skuid