Networking

環回上的大量 TCP 流量

  • January 26, 2018

在嘗試在我的環回介面上生成一些測試流量時,我注意到那裡有很多噪音,以至於 Wireshark 的輸出基本上沒有用,埠 4101 上有大量的 SYN/RST、ACK 數據包(一些Google搜尋建議與盲文服務?我不知道我正在執行任何與此相關的遠端操作,但是,然後,這是我們正在談論的 Ubuntu)。

ggoncalves@inspiron:~$ sudo netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      4776/dnsmasq        
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      2626/systemd-resolv 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      11501/cupsd         
tcp        0      0 0.0.0.0:53127           0.0.0.0:*               LISTEN      6789/transmission-g 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      2626/systemd-resolv 
tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      2625/sshd           
tcp6       0      0 ::1:631                 :::*                    LISTEN      11501/cupsd         
tcp6       0      0 :::53127                :::*                    LISTEN      6789/transmission-g 
tcp6       0      0 :::5355                 :::*                    LISTEN      2626/systemd-resolv 
tcp6       0      0 :::2222                 :::*                    LISTEN      2625/sshd           
ggoncalves@inspiron:~$ 

Wireshark 輸出

這是正常的嗎?為什麼此服務不會出現在 netstat 上?這種流量看起來毫無用處,所以如果可能的話,我想禁用它。

SYN/RST 表示埠已關閉,因此應用程序將關閉連接,這意味著它在 netstat 中僅在幾分之一秒內可見。

您可以嘗試使用以下 iptable 規則刪除此流量的 SYN:

sudo iptables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP
sudo ip6tables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP

然後,您應該能夠使用 netstat 查看哪個應用程序正在生成此流量,因為它會在一段時間內保持“SYN sent”狀態。

引用自:https://serverfault.com/questions/822681