Вопросы Теги

У меня в linux есть петлевой трафик, связанный с портом 631, и я понятия не имею, что его вызывает

Итак, я сделал захват пакетов в своей сети и все остальное на самом деле все в порядке, за исключением этой странной связи, где источник и пункт назначения буквально 127.0.0.1, порт источника - 631, а порт назначения - это число, постоянно увеличивающееся на 1 для каждого происходящего обмена.

Я отключил все службы, которые прослушивают по умолчанию, как чашки, avahi-daemon и т. д., даже в том, что касается фактического удаления чашек, потому что мне это действительно не нужно. Так что я действительно понятия не имею, что вызывает этот трафик. Я произвел поиск по порту 631, и все, что я вижу, это результаты, относящиеся к печати / принтерам, которые в моем случае не помогают.

Не мог бы кто-нибудь помочь мне разобраться в этой загадке? Вот файлы pcaps:

1
задан 29 August 2019 в 14:15
2 ответа

Поскольку трафик пытается пройти через порт 631 / tcp в интерфейсе обратной связи, я считаю, что локальный процесс пытается связаться с демоном CUPS и что-то напечатать. К сожалению, я не могу получить дополнительную информацию об этом из предоставленных файлов PCAP, потому что ни один из захваченных пакетов TCP не передает полезную нагрузку. Я могу только видеть, что процесс, вероятно, закрывает соединительный сокет после сбоя и повторной попытки с использованием новых.

Некоторое время назад мне представили аналогичную проблему. Для сбора информации от процесса, который пытается часто устанавливать соединения с закрытым локальным портом, я использовал следующие стратегии:

  • Техника приманки

    На вкладке терминала я запустил процесс ncat , который прослушивает для подключений на порт 631 / tcp: 

     # ncat -l -p 631 -k -vv

    Затем на другой вкладке терминала я запустил на лету Bash-скрипт, собирающий информацию о процессах, подключенных к порту: 

     # в спящем режиме 0.1;  do ss -tapen state installed 'dport = 631'> output.txt;  fgrep -wq 631 output.txt && cat output.txt;  сделанный

  • Ведение журнала IPTABLES / NFTABLES

    Я создал правило IPTABLES / NFTABLES на лету в цепочке OUTPUT, записывая информацию о подключении в SYSLOG: 

     # iptables -I OUTPUT -p tcp --syn --dport 631  -j LOG --log-prefix 'WHOIS?  '--log-level предупреждение --log-uid
 
     # nft insert rule ip filter OUTPUT tcp dport 631 tcp flags '& (fin | syn | rst | ack)' == префикс журнала счетчика синхронизации '«WHOIS?»' Флаги предупреждения уровня skuid
0
ответ дан 3 December 2019 в 23:01

Это 10 TCP SYN от 127.0.0.1 до 127.0.0.1, порт 631. Все сразу получают ответ RST. Между ними интервал составляет 3,75 секунды, и каждый раз порт источника увеличивается на 4.

Как вы заметили, порт 631 зарегистрирован для протокола Интернет-печати. Возможно что-то связанное с печатью.

Поскольку в потоке TCP нет данных, и все это локальный хост, не так много идентифицирующей информации. Отследите процесс, который пытается установить TCP-соединение. В последних версиях Linux bpf позволяет вам видеть все TCP-соединения с помощью скриптов, например, tcpconnect . Это вернет PID и COMM соединений. То, что не является чашками, было бы необычным.

1
ответ дан 3 December 2019 в 23:01

Теги

Похожие вопросы