当尝试在我的环回接口上生成一些测试流量时,我注意到那里有太多噪音,以至于 Wireshark 的输出基本上没用,端口 4101 上有大量 SYN/RST、ACK 数据包(一些谷歌搜索表明这与盲文服务有关?我不知道我是否正在运行与此相关的东西,但是,再说一次,我们谈论的是 Ubuntu)。
ggoncalves@inspiron:~$ sudo netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 4776/dnsmasq
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 2626/systemd-resolv
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 11501/cupsd
tcp 0 0 0.0.0.0:53127 0.0.0.0:* LISTEN 6789/transmission-g
tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 2626/systemd-resolv
tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN 2625/sshd
tcp6 0 0 ::1:631 :::* LISTEN 11501/cupsd
tcp6 0 0 :::53127 :::* LISTEN 6789/transmission-g
tcp6 0 0 :::5355 :::* LISTEN 2626/systemd-resolv
tcp6 0 0 :::2222 :::* LISTEN 2625/sshd
ggoncalves@inspiron:~$
这是正常的吗?为什么这个服务没有显示在 netstat 上?这个流量看起来完全没用,所以如果可能的话我想禁用它。
答案1
SYN/RST 表示端口已关闭,因此应用程序将关闭连接,这意味着它仅在几分之一秒内可在 netstat 中看到。
您可以尝试使用以下 iptable 规则删除此流量的 SYN:
sudo iptables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP
sudo ip6tables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP
然后您应该能够使用 netstat 查看哪个应用程序正在生成此流量,因为它会在一段时间内保持“SYN 已发送”状态。
答案2
在我的案例中(ubuntu 16.10),环回接口出现这种噪音的原因是 xbrlapi。
您可以通过让软件连接到某个东西来识别该软件:例如 nc -l 4101。之后,netstat -atulpn 会显示哪个进程在哪个源端口上连接到 nc。