我正在尝试调试在我的环境中出现的来自未知服务器的连接。
如果与某个 PID 相关联,我想找到它。尝试了“netstat -anp”,但没有找到任何东西。但连接不稳定,所以我尝试了 ngrep
输出很奇怪,我找不到文档来描述它。
例子:
$ ngrep host 12.34.56.78
interface: eth0 (10.128.100.0/255.255.252.0)
filter: (ip or ip6) and ( host 12.34.56.78 )
#
I 12.34.56.78 -> 10.128.100.101 3:13
[email protected]..{.{.8..#......2...........&..z .h...8.6.h..
#
10.128.100.101 是我运行它的主机。
我想知道“3:13”是什么。我找不到任何有类似内容的 ngrep 输出示例。
我知道前面的“I”是“ICMP”——这与提醒我注意此问题的 Snort 警报相符。
答案1
我想我明白了。浏览了 ngrep 源代码。
发现了这个:
switch (proto) {
case IPPROTO_ICMP:
case IPPROTO_ICMPV6:
case IPPROTO_IGMP:
printf(" %u:%u", sport, dport);
}
“sport” 和 “dport”
对于 ICMP 来说,可能意味着“类型”而不是“端口”。
很确定这是 ICMP 类型“3”,意思是“无法到达目的地”。但我不确定 13 是“时间戳”还是“通信被管理禁止”——尽管我怀疑是后者。
现在要弄清楚如何解决这个异常现象。