如何发现和分析到192.xxx地址的“可疑”交通？

Question

我只是玩了一点tcpdump (因为我想检查为什么我的邮件没有发送)，从而发现了非常奇怪和很多流量的“私人I”。请参阅下面的例子：

05:11:23.639588 IP my.host.com.52822 > 192.168.114.56.www: S 4065505263:4065505263(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:23.639596 IP my.host.com.34872 > 192.168.110.57.https: S 4069841766:4069841766(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:26.087579 IP my.host.com.54247 > 192.168.114.56.81: S 4114834713:4114834713(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.087616 IP my.host.com.52828 > 192.168.114.56.www: S 4101565810:4101565810(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.727550 IP my.host.com.33281 > 192.168.110.56.https: S 4113254904:4113254904(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:26.727584 IP my.host.com.47730 > 192.168.114.57.www: S 4122721122:4122721122(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:27.647584 IP my.host.com.54252 > 192.168.114.56.81: S 4131156777:4131156777(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647618 IP my.host.com.52833 > 192.168.114.56.www: S 4133704551:4133704551(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647627 IP my.host.com.54254 > 192.168.114.56.81: S 4123314210:4123314210(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647634 IP my.host.com.52835 > 192.168.114.56.www: S 4132548700:4132548700(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647642 IP my.host.com.34885 > 192.168.110.57.https: S 4137809804:4137809804(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:30.091556 IP my.host.com.54260 > 192.168.114.56.81: S 4169604542:4169604542(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.091593 IP my.host.com.52841 > 192.168.114.56.www: S 4177065598:4177065598(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.731561 IP my.host.com.33294 > 192.168.110.56.https: S 4178586582:4178586582(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>
05:11:30.731598 IP my.host.com.47743 > 192.168.114.57.www: S 4184486122:4184486122(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>

我将非常感谢你给我的建议，我可以进一步了解。

1.)是什么程序发送这个流量？

第二，我有个问题。我如何检查这个流量是否会通过我的网络接口，这样它也将被“发送”到我的提供商的网络。这个问题的意思是，这是我的服务器内部的唯一流量，还是这些流量也“离开”了我的服务器。(它很可能会被ISP的路由器丢弃，但我不知道tcpdumps是如何工作的，如果显示的是“内部”或“外部”流量。)

更新:我看了一下processes可移植的程序，杀死了一些进程并找到了程序:它是我安装的代理服务器.但是问题仍然是一样的:有了上面给出的示例tcpdump，当不查看进程列表并杀死程序时，我如何才能进一步找到导致这个流量的程序。此外，问题是这些流量“离开”了我的服务器，还是只有内部通信量。

非常感谢！延斯

Answer 1

您可以使用sudo lsof -i或sudo netstat -nap46查看互联网套接字和连接以及拥有它们的程序。您可以通过将-i $EXTERNAL_INTERFACE传递给tshark或tcpdump来查看流量是否离开机器。

Answer 2

似乎您正在您的机器上进行tcpdump。这样，您就可以监视您的机器接收和发送的流量。

如果您想知道这个流量是否会离开您的服务器，您必须登录到服务器并在那里运行tcpdump。

如果要检查程序是否有特定的已建立连接，可以使用netstat -anp | grep <PORT>。