Come diagnosticare e gestire connessioni di rete aperte non spiegate?

3

Stavo usando Wireshark per verificare l'attività di un client sconosciuto nella mia rete domestica e, con mia sorpresa, ho trovato alcune strane connessioni stabilite dal mio computer. Ho disconnesso tutti i client dalla rete ma io stesso, ho riavviato il mio computer, effettuato il login come root, non ho avviato nessun programma e ho eseguito nuovamente wireshark. Con mia sorpresa, le connessioni erano ancora in corso:

Sono 192.168.25.204

uTorrenteprotocolloditrasporto...?Nonhonessunclienttorrentaperto.ps-eoutput:

link

E secondo il built-in whois di Debian tali IP appartengono a SKY e AT & T. Altri IP che sono apparsi in seguito appartengono anche a AT & T, e altri appartengono a società casuali in Cina e Taiwan.

Come dovrei diagnosticare questo e cosa potrei / dovrei fare al riguardo?

    
posta Alex 12.07.2013 - 07:05
fonte

3 risposte

6

Guardando l'acquisizione dei pacchetti che hai lì, sembra che il tuo computer stia rifiutando i tentativi di connessione (i messaggi irraggiungibili della porta), quindi non è necessariamente che sul tuo sistema ci sia qualcosa che sta causando il traffico, più che altro computer stanno cercando di contattarti.

Ciò che è evidente è che non c'è nessun firewall che limita l'accesso tra te e quegli host. Ora hai un indirizzo RFC 1918 (192.168.25.204) quindi di solito il traffico non dovrebbe essere in grado di indirizzarti direttamente.

Hai un port forwarding o una configurazione di forwarding degli indirizzi sul tuo firewall? Se così fosse, ti consiglio di limitarlo quando non ne hai bisogno.

A parte questo, hai fatto girare bit-torrent sulla loro macchina in passato? Se è così potrebbe essere solo altri sistemi in uno dei torrents che facevi parte del tentativo di connetterti in base alle vecchie informazioni ...

    
risposta data 12.07.2013 - 08:54
fonte
4

Sembra che non ci sia nulla di sbagliato nel protocollo uTorrent. Queste sono connessioni in entrata, ma come hai detto prima non hai nessun client Torrent in esecuzione. L'hai già fatto? I client Torrent cercano di aprire una connessione con te se il tuo IP era nella loro cache, quindi in pratica stanno bussando a porte chiuse.

    
risposta data 12.07.2013 - 10:27
fonte
0

Se non si sta reindirizzando esplicitamente il traffico dal router perimetrale alla porta 192248,25,204 62456, probabilmente il router sta ancora ricordando le connessioni a quell'IP nella sua tabella di conversione (NAT) perché nel passato recente si è utilizzato un client BitTorrent.

In tal caso, puoi interrompere quel traffico (non il traffico dagli indirizzi IP remoti al tuo router) resettando il router o pulendo la sua tabella di conversione entrando nell'interfaccia di configurazione del router.

    
risposta data 12.07.2013 - 17:41
fonte

Leggi altre domande sui tag