Итак, я сделал захват пакетов в своей сети и все остальное на самом деле все в порядке, за исключением этой странной связи, где источник и пункт назначения буквально 127.0.0.1, порт источника - 631, а порт назначения - это число, постоянно увеличивающееся на 1 для каждого происходящего обмена.
Я отключил все службы, которые прослушивают по умолчанию, как чашки, avahi-daemon и т. д., даже в том, что касается фактического удаления чашек, потому что мне это действительно не нужно. Так что я действительно понятия не имею, что вызывает этот трафик. Я произвел поиск по порту 631, и все, что я вижу, это результаты, относящиеся к печати / принтерам, которые в моем случае не помогают.
Не мог бы кто-нибудь помочь мне разобраться в этой загадке? Вот файлы pcaps:
Поскольку трафик пытается пройти через порт 631 / tcp в интерфейсе обратной связи, я считаю, что локальный процесс пытается связаться с демоном CUPS и что-то напечатать. К сожалению, я не могу получить дополнительную информацию об этом из предоставленных файлов PCAP, потому что ни один из захваченных пакетов TCP не передает полезную нагрузку. Я могу только видеть, что процесс, вероятно, закрывает соединительный сокет после сбоя и повторной попытки с использованием новых.
Некоторое время назад мне представили аналогичную проблему. Для сбора информации от процесса, который пытается часто устанавливать соединения с закрытым локальным портом, я использовал следующие стратегии:
Техника приманки
На вкладке терминала я запустил процесс ncat , который прослушивает для подключений на порт 631 / tcp:
# ncat -l -p 631 -k -vv
Затем на другой вкладке терминала я запустил на лету Bash-скрипт, собирающий информацию о процессах, подключенных к порту:
# в спящем режиме 0.1; do ss -tapen state installed 'dport = 631'> output.txt; fgrep -wq 631 output.txt && cat output.txt; сделанный
Ведение журнала IPTABLES / NFTABLES
Я создал правило IPTABLES / NFTABLES на лету в цепочке OUTPUT, записывая информацию о подключении в SYSLOG:
# iptables -I OUTPUT -p tcp --syn --dport 631 -j LOG --log-prefix 'WHOIS? '--log-level предупреждение --log-uid
# nft insert rule ip filter OUTPUT tcp dport 631 tcp flags '& (fin | syn | rst | ack)' == префикс журнала счетчика синхронизации '«WHOIS?»' Флаги предупреждения уровня skuid
Это 10 TCP SYN от 127.0.0.1 до 127.0.0.1, порт 631. Все сразу получают ответ RST. Между ними интервал составляет 3,75 секунды, и каждый раз порт источника увеличивается на 4.
Как вы заметили, порт 631 зарегистрирован для протокола Интернет-печати. Возможно что-то связанное с печатью.
Поскольку в потоке TCP нет данных, и все это локальный хост, не так много идентифицирующей информации. Отследите процесс, который пытается установить TCP-соединение. В последних версиях Linux bpf позволяет вам видеть все TCP-соединения с помощью скриптов, например, tcpconnect . Это вернет PID и COMM соединений. То, что не является чашками, было бы необычным.