Уточнение формата вывода ngrep
Я пытаюсь отладить соединение, которое появлялось в моей среде с неизвестного сервера.
Я хочу найти PID, если он связан с одним. Пробовал "netstat -anp" но ничего не находит. Но соединение носит спорадический характер, поэтому я попробовал ngrep
Вывод выглядит странно, и я не смог найти документацию, описывающую его.
Пример:
$ ngrep host 12.34.56.78
interface: eth0 (10.128.100.0/255.255.252.0)
filter: (ip or ip6) and ( host 12.34.56.78 )
#
I 12.34.56.78 -> 10.128.100.101 3:13
....E..L.G@.......fi.ro..{.{.8..#......2...........&..z .h...8.6.h..
#
10.128.100.101 - это хост, на котором я работаю.
Я хочу знать, что такое «3:13». Я не могу найти ни одного примера вывода ngrep, в котором было бы что-то вроде этого.
Я знаю, что «I» спереди - это «ICMP» - и это соответствует предупреждениям Snort, которые указали мне на эту проблему.
Кажется, я понял. Просмотрел источник ngrep.
Нашёл следующее:
switch (proto) {
case IPPROTO_ICMP:
case IPPROTO_ICMPV6:
case IPPROTO_IGMP:
printf(" %u:%u", sport, dport);
}
"sport" и "dport"
Что в случае ICMP, вероятно, означает "Type", а не "port".
Почти уверен, что это тип ICMP "3", что означает "Destination unreach" (место назначения недоступно). Однако я не уверен, что 13 - это "Отметка времени" или "Коммуникация административно запрещена" - хотя подозреваю, что это последняя.
Теперь выясним, что на самом деле делать с этой аномалией.
.