当我使用 netstat -na 监控我的服务器的网络活动时,一秒钟后我注意到了接下来一行对我来说很奇怪的内容:
首先是:
tcp 0 0 XXX.XXX.XXX.XXX:22 YYY.YYY.YYY.YYY:48085 SYN_RECV
几秒钟后我注意到:
udp 0 0 XXX.XXX.XXX.XXX:34151 YYY.YYY.YYY.YYY:33486 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34152 YYY.YYY.YYY.YYY:33487 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34153 YYY.YYY.YYY.YYY:33488 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34157 YYY.YYY.YYY.YYY:33492 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34158 YYY.YYY.YYY.YYY:33493 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34160 YYY.YYY.YYY.YYY:33494 ESTABLISHED
这是有人尝试使用 ssh 进行连接吗?第二部分是什么?连接何时建立?
另一件奇怪的事情是,我的所有端口 1024-65535 都用 iptables 关闭了。
请帮忙!
答案1
第二组是 UDP,因此与 SSH 无关。端口建议我进行跟踪路由,根据手册页,它通常从端口 33434 开始。找到连接后,您是否对他的 IP 进行了跟踪路由?
答案2
首先是有人尝试通过 SSH 连接到您的机器。
如果不知道连接端有哪些程序,就不可能完全知道第二组是什么。它们是出站连接,因为您说入站连接已通过 iptables 被拒绝。