环回时 TCP 流量很大

环回时 TCP 流量很大

当尝试在我的环回接口上生成一些测试流量时,我注意到那里有太多噪音,以至于 Wireshark 的输出基本上没用,端口 4101 上有大量 SYN/RST、ACK 数据包(一些谷歌搜索表明这与盲文服务有关?我不知道我是否正在运行与此相关的东西,但是,再说一次,我们谈论的是 Ubuntu)。

ggoncalves@inspiron:~$ sudo netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      4776/dnsmasq        
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      2626/systemd-resolv 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      11501/cupsd         
tcp        0      0 0.0.0.0:53127           0.0.0.0:*               LISTEN      6789/transmission-g 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      2626/systemd-resolv 
tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      2625/sshd           
tcp6       0      0 ::1:631                 :::*                    LISTEN      11501/cupsd         
tcp6       0      0 :::53127                :::*                    LISTEN      6789/transmission-g 
tcp6       0      0 :::5355                 :::*                    LISTEN      2626/systemd-resolv 
tcp6       0      0 :::2222                 :::*                    LISTEN      2625/sshd           
ggoncalves@inspiron:~$ 

Wireshark 输出

这是正常的吗?为什么这个服务没有显示在 netstat 上?这个流量看起来完全没用,所以如果可能的话我想禁用它。

答案1

SYN/RST 表示端口已关闭,因此应用程序将关闭连接,这意味着它仅在几分之一秒内可在 netstat 中看到。

您可以尝试使用以下 iptable 规则删除此流量的 SYN:

sudo iptables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP
sudo ip6tables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP

然后您应该能够使用 netstat 查看哪个应用程序正在生成此流量,因为它会在一段时间内保持“SYN 已发送”状态。

答案2

在我的案例中(ubuntu 16.10),环回接口出现这种噪音的原因是 xbrlapi。

您可以通过让软件连接到某个东西来识别该软件:例如 nc -l 4101。之后,netstat -atulpn 会显示哪个进程在哪个源端口上连接到 nc。

相关内容