我刚刚玩了一下 tcpdump(因为我想检查为什么我的邮件没有发送),结果发现非常奇怪,而且“私有 IP”的流量很大。请参见以下示例:
05:11:23.639588 IP my.host.com.52822 > 192.168.114.56.www: S 4065505263:4065505263(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:23.639596 IP my.host.com.34872 > 192.168.110.57.https: S 4069841766:4069841766(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:26.087579 IP my.host.com.54247 > 192.168.114.56.81: S 4114834713:4114834713(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.087616 IP my.host.com.52828 > 192.168.114.56.www: S 4101565810:4101565810(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.727550 IP my.host.com.33281 > 192.168.110.56.https: S 4113254904:4113254904(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:26.727584 IP my.host.com.47730 > 192.168.114.57.www: S 4122721122:4122721122(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:27.647584 IP my.host.com.54252 > 192.168.114.56.81: S 4131156777:4131156777(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647618 IP my.host.com.52833 > 192.168.114.56.www: S 4133704551:4133704551(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647627 IP my.host.com.54254 > 192.168.114.56.81: S 4123314210:4123314210(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647634 IP my.host.com.52835 > 192.168.114.56.www: S 4132548700:4132548700(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647642 IP my.host.com.34885 > 192.168.110.57.https: S 4137809804:4137809804(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:30.091556 IP my.host.com.54260 > 192.168.114.56.81: S 4169604542:4169604542(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.091593 IP my.host.com.52841 > 192.168.114.56.www: S 4177065598:4177065598(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.731561 IP my.host.com.33294 > 192.168.110.56.https: S 4178586582:4178586582(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>
05:11:30.731598 IP my.host.com.47743 > 192.168.114.57.www: S 4184486122:4184486122(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>
我将非常感激有关如何进一步了解的建议
1.) 哪个程序正在发送此流量
其次,我有一个问题。我如何检查此流量是否会通过我的网络接口,以便它也将被“发送”到我的提供商的网络。我问这个问题的意思是,这是否只是我服务器内部的流量,还是这流量也“离开”了我的服务器。(它很可能会被我的 ISP 的路由器丢弃,但我不知道 tcpdumps 如何工作,显示的流量是“内部”流量还是“外部”流量。
更新:我查看了进程表并终止了一些进程,然后找到了程序:这是我安装的代理服务器...但问题仍然存在:有了上面给出的这个 tcpdump 示例,在没有查看进程列表和终止程序的情况下,我怎样才能进一步找到导致这种流量的程序。而且问题是这种流量是“离开”了我的服务器还是仅仅是内部流量
非常感谢!jens
答案1
sudo lsof -i您可以使用或查看互联网套接字和连接以及拥有它们的程序。您可以通过传递到 tshark 或 tcpdump 来sudo netstat -nap46查看流量是否离开机器。-i $EXTERNAL_INTERFACE
答案2
看来你正在你的机器上执行 tcpdump。这样你就可以监视你的机器接收和发送的流量。
如果您想知道这些流量是否会离开您的服务器,您必须登录到服务器并在那里运行 tcpdump。
如果您想检查程序是否已建立某些特定的连接,您可以使用netstat -anp | grep <PORT>。