如何在iftop中找到显示未知连接的原因？

Question

我经常在iftop上看到这样的人脉：

12.15.127.75.host.nwnx.net => 121.61.153.172 480b 160b 40b

我不知道它是什么，也不知道它是从哪里来的。一个netstat -a显示：

udp        0      0 12.15.127.75:netbios-ns *:*
udp        0      0 12.15.127.75:netbios-ns *:*

目前我想我可能被黑客入侵了，但是有没有人有一个聪明的方法来调查这样的事情呢？

编辑**

我用一个包嗅探器(tcpdump)查看了它，在124.134.97.173中搜索了I.P连接。

124.134.97.173.1317 > 12.15.127.75.host.nwnx.net.ms-sql-s: Flags [S], cksum 0xb2af (correct), seq 1417033873, win 65535, options [mss 1440,nop,nop,sackOK], length 0
12.15.127.75.host.nwnx.net.ms-sql-s > 124.134.97.173.1317: Flags [R.], cksum 0xdf4b (correct), seq 0, ack 1417033874, win 0, length 0

Transmission Control Protocol, Src Port: ms-sql-s (1433), Dst Port: vrts-ipcserver (1317), Seq: 1, Ack: 1, Len: 0
Source port: ms-sql-s (1433)
Destination port: vrts-ipcserver (1317)

但还是不知道该怎么做

谢谢

Answer 1

只要看一下提供的信息，我想说的是Veritas软件是通过网络与Ms数据库通信的。vrts-ipcserver代表Veritas安装的管理服务之一。

您可以在这里找到有关Veritas端口的信息：http://h30499.www3.hp.com/t5/System-Administration/Ports-used-by-Veritas-admin-tools/td-p/3164261