ngrep 输出格式说明

ngrep 输出格式说明

我正在尝试调试在我的环境中出现的来自未知服务器的连接。

如果与某个 PID 相关联,我想找到它。尝试了“netstat -anp”,但没有找到任何东西。但连接不稳定,所以我尝试了 ngrep

输出很奇怪,我找不到文档来描述它。

例子:

$ ngrep host 12.34.56.78
interface: eth0 (10.128.100.0/255.255.252.0)
filter: (ip or ip6) and ( host 12.34.56.78 )
#

I 12.34.56.78 -> 10.128.100.101 3:13
  [email protected]..{.{.8..#......2...........&..z .h...8.6.h..
#

10.128.100.101 是我运行它的主机。

我想知道“3:13”是什么。我找不到任何有类似内容的 ngrep 输出示例。

我知道前面的“I”是“ICMP”——这与提醒我注意此问题的 Snort 警报相符。

答案1

我想我明白了。浏览了 ngrep 源代码。

发现了这个:

switch (proto) {
    case IPPROTO_ICMP:
    case IPPROTO_ICMPV6:
    case IPPROTO_IGMP:
        printf(" %u:%u", sport, dport);
}

“sport” 和 “dport”

对于 ICMP 来说,可能意味着“类型”而不是“端口”。

很确定这是 ICMP 类型“3”,意思是“无法到达目的地”。但我不确定 13 是“时间戳”还是“通信被管理禁止”——尽管我怀疑是后者。

现在要弄清楚如何解决这个异常现象。

相关内容