我正在使用 iftop 分析网络流量,我对此输出感到困惑:
188.25.15.139:11596 => 104.31.112.90:8880 130KB 32KB 19KB
<= 162KB 51KB 30KB
我的IP是188.25.15.139。
来自 104.31.112.90:8880 的流量我会解释为发送给我的数据包 - 这些数据包可能与对方想要发送的数据包一样多(我的解释正确吗?)
我的问题是来自我的流量(188.25.15.139:11596);我有 UFW,它会阻止 11596(如果重要的话,也会阻止 8880),所以我认为没有理由在端口 11596 上有“来自我”的如此大的流量。
另外我没有进程监听 11596 或 8880;我用以下方法检查了这一点:
sudo ss -lptn 'sport = :11596'
sudo ss -lptn 'sport = :8880'
主要问题:如何解释“来自我”的流量?
lsb_release -a
没有可用的 LSB 模块。
发行商 ID:Ubuntu
描述:Ubuntu 16.04.4 LTS
版本:16.04
代号:xenial
uname -a
Linux gigi-desktop 4.13.0-37-generic #42~16.04.1-Ubuntu SMP 3月7日星期三16:03:28 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
编辑
iftop -f "not dst port 443 and not src port 443 and not dst port 80 and not src port 80 and not dst port 53 and not src port 53 and not dst port 123 and not src port 123"
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[1] 22 LIMIT IN Anywhere
[2] 80 ALLOW IN Anywhere
[3] 443 ALLOW IN Anywhere
答案1
很快得到的答案是:
JavaScript 应用程序正在向 104.31.112.90:8880 发送和接收数据。
为了发现我成功使用了:
telnet 104.31.112.90 8880
这意味着 8880 很可能不是像 104.31.112.90 最初连接到我时那样的随机端口;这进一步意味着,不知何故,是我发起了与 104.31.112.90:8880 的连接。经过进一步挖掘,我发现 104.31.112.90 是一个 cloudflare 服务器;最有可能的是托管我正在使用的某种网络服务的服务器。
考虑到我已经打开了带有许多选项卡的浏览器,那么很可能有一个 JavaScript 应用程序正在使用来自 104.31.112.90:8880 的一些 Web 服务。使用 iftop 时忽略 53、80、123、443 端口对于已在已打开的浏览器选项卡中运行的 javascript 没有帮助。