Cos'è questo strano traffico IP localhost su più porte nell'intervallo 5400-5600?

Question

Cos'è questo strano traffico IP localhost su più porte nell'intervallo 5400-5600?

#1 da (2 voti)
#2 da (1 voti)

2

Sto riscontrando un problema che ho visto recentemente nella mia macchina Fedora 23 (ultimi aggiornamenti). Sto ottenendo circa 130 pacchetti IP passati avanti e indietro sull'interfaccia lo in un colpo solo, ogni 1 secondo (come un processo a tempo). Si verifica per circa 2-5 minuti, quindi si arresta per alcuni secondi fino a un paio di minuti., Quindi inizia di nuovo a destra. Riesco a vedere il traffico dei pacchetti in una cattura tcpdump sull'interfaccia lo, ma non riesco a trovare alcuna informazione reale sulle porte particolari che usa diversi dai nomi IANA, e non sono un esperto nel debug dei protocolli con tcpdump. Un paio di messaggi di esempio sono incollati qui, ma includerò anche un puntatore a un raccoglitore di paste per una cattura più completa (sì, ho letto l'opinione generale di SE sui siti * bin, ma è un'acquisizione enorme anche per un paio di secondi, e abbastanza dovrebbe essere qui per le ricerche future da trovare):

21:33:43.047410 IP localhost.localdomain.5665 > localhost.localdomain.44574: Flags [R.], seq 0, ack 2284755030, win 0, length 0
21:33:43.047448 IP localhost.localdomain.38818 > localhost.localdomain.5667: Flags [S], seq 1778200592, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047460 IP localhost.localdomain.5667 > localhost.localdomain.38818: Flags [R.], seq 0, ack 1778200593, win 0, length 0
21:33:43.047496 IP localhost.localdomain.37068 > localhost.localdomain.5669: Flags [S], seq 3846609184, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047508 IP localhost.localdomain.5669 > localhost.localdomain.37068: Flags [R.], seq 0, ack 3846609185, win 0, length 0
21:33:43.047544 IP localhost.localdomain.44684 > localhost.localdomain.amqps: Flags [S], seq 2934840620, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047556 IP localhost.localdomain.amqps > localhost.localdomain.44684: Flags [R.], seq 0, ack 2934840621, win 0, length 0
21:33:43.047592 IP localhost.localdomain.56366 > localhost.localdomain.jms: Flags [S], seq 3939722005, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047604 IP localhost.localdomain.jms > localhost.localdomain.56366: Flags [R.], seq 0, ack 3939722006, win 0, length 0
21:33:43.047640 IP localhost.localdomain.50540 > localhost.localdomain.v5ua: Flags [S], seq 3048240647, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047652 IP localhost.localdomain.v5ua > localhost.localdomain.50540: Flags [R.], seq 0, ack 3048240648, win 0, length 0
21:33:43.047688 IP localhost.localdomain.57428 > localhost.localdomain.questdb2-lnchr: Flags [S], seq 2388676920, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0

Sembra andare in sequenza, come una scansione delle porte, ma rimane sempre all'interno dell'intervallo di porte 5400-5699. Altro è disponibile sul sito incolla del Fedora Project: link . Potrei incollare solo fino a 20 secondi di acquisizione perché c'è così tanto traffico!

Normalmente cercherò il processo in modo approfondito e rintraccerò il colpevole, ma le porte passano così velocemente che non si riesce a trovare quello che apre la connessione. Netstat non è di aiuto neanche io, o almeno potrei usarlo male. Alcuni altri passaggi di risoluzione dei problemi che ho fatto è stato quello di spegnere la rete e tirato il cavo Ethernet. Niente da fare. Ho anche eseguito un'istanza di ntop, indirizzandola per collegarla all'interfaccia LO, ma non ha potuto vedere nulla.

Quindi, qualcuno ha idea di cosa sia? Posso dire che l'ho notato nel mio widget di rete sul desktop quando sono tornato a casa dal lavoro oggi e avevo aggiornato la macchina il giorno prima - ma non c'era il traffico di localhost che ho visto allora.

tcp ports

posta db_ 23.04.2016 - 04:35

fonte

2 risposte

Leggi altre domande sui tag tcp ports

Come classificare la forza di sicurezza di un'app SaaS cloud Chiave RSA con heartbleed

score 2 · Answer 1

Ho avuto il tempo di rintracciarlo, e sembra che ho trovato la risposta. È 'adb', il servizio Android Debug Bridge, installato con il pacchetto di strumenti Android di Google. L'avevo messo sulla mia macchina per aiutare a rintracciare il telefono di mia figlia (non chiedere) e ho dimenticato di spegnerlo. Ma questo è stato mesi fa, e come ho detto non ho visto il traffico nel mio widget desktop (applet Gnome / MATE System Monitor) fino a dopo aver aggiornato il sistema operativo il 19 aprile e non subito dopo l'aggiornamento. Sto scavando attraverso le note di rilascio sulla lista dei pacchetti aggiornati ora per vedere se c'era un pacchetto di networking-o-other che ha aggiornato qualcosa per portarlo sul radar.

In ogni caso sto registrando i passi che ho compiuto qui nel caso qualcuno volesse sapere come ho trovato, forse un giorno qualcuno aiuterà qualcuno. Ho iniziato a utilizzare Wireshark, ma non sapendo veramente cosa cercare, ho notato che il pattern è stato avviato sulla porta 5401, ha eseguito ogni porta dispari fino a 5699 e poi riciclato. Poi sono tornato alle basi e ho cercato la pagina man di lsof. Ho finito per usare il comando lsof in questo modo:

lsof -i :5000-5700

Mostra tutti i processi che utilizzano le porte Internet da 5000 a 5700. Un paio di processi si sono presentati, 'adb' è uno di questi (in ascolto sulla porta 5037). anche 'avahi-deamon' è apparso, eseguendo UDP su mDNS (porta 5353). Non eseguo Zeroconf / Bonjour / Whateverthenameisnow, quindi chiudo avahi-daemon. Nessun dado, aveva ancora il traffico. Poi sono andato a cercare adb, non aveva una pagina man, no apropos, no whatis, e un 'dnf whatprovides / bin / adb' è venuto vuoto. Strano. Tuttavia, eseguendo "stringhe" su di esso e eseguendo il piping su un valore inferiore, la parola ANDROID è stata mostrata alcune volte. Bingo. Ho dato un'occhiata alla lista dei servizi in systemctl e ho visto che 'adb.service' era abilitato. L'ho spento con 'systemctl disable adb.service', e wala, come per magia, il traffico si è fermato.

Ora, farlo era solo uno sparo nel buio, non sapevo con certezza che era adb a fare il traffico prima di spegnerlo. Dopotutto, ho potuto solo provare che era listening sulla porta 5037. Mi chiedo cosa stia facendo guardando attraverso tutte quelle porte. Ovviamente cercando di connettersi a qualcosa. Quando avrò più tempo guarderò attraverso la documentazione.

score 1 · Answer 2

Sembra che tu stia vedendo un sacco di cattive connessioni (connessione syn seguita immediatamente dai primi flag). Ciò significa che stai cercando di stabilire una connessione con te stesso tramite localhost e la connessione viene chiusa (ripristinata) dallo stack TCP / IP.

Per caso stai usando un file hosts per reindirizzare i domini annunci / malware a localhost (172.0.0.1)? Ciò provocherebbe questo comportamento, poiché il dominio si risolve sull'host locale, quindi tenta di stabilire una connessione, ma quella porta non ha un processo attivo che la guardi, quindi la connessione viene resettata dal kernel (contiene l'implementazione del tuo tcp / stack ip)