偶尔打开端口的跟踪程序

偶尔打开端口的跟踪程序

在我管理的 Debian 服务器上,我有一个 iptables 白名单防火墙。出于某种原因,一个进程似乎正在发送一堆未经授权的数据包,但我似乎无法识别哪一个。

[1624382.821400] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=198.60.22.240 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=49824 DF PROTO=UDP SPT=59084 DPT=123 LEN=56 
[1624382.821625] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=209.208.79.69 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=2620 DF PROTO=UDP SPT=60835 DPT=123 LEN=56 
[1624382.821836] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=35.238.255.157 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=22984 DF PROTO=UDP SPT=39290 DPT=123 LEN=56 
[1624382.822042] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=129.250.35.251 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=39284 DF PROTO=UDP SPT=53528 DPT=123 LEN=56 
[1624413.404586] IPTables-Dropped: No Match: IN= OUT=enp2s5 SRC=10.0.6.164 DST=34.225.6.20 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=59854 DF PROTO=UDP SPT=51331 DPT=123 LEN=56

我有查了一下似乎有什么东西正在尝试使用 NTP,这很奇怪,因为我不记得设置过任何东西来使用它。我猜想 Debian 一定默认安装了一些东西,但我找不到任何相关文档。

它总是每 20-30 分钟发送 5 个 UDP 数据包。总是发送到不同的 IP 地址。我想找出哪个程序在发送这些数据包,以便我可以信任或删除它。我尝试编写一个脚本,但似乎没有捕获任何东西:

sudo tcpdump | grep ntp > 123.log &

有人知道我该怎么做才能查明是什么发送了这些数据包吗?

答案1

到目标端口 123 的 UDP 流量很可能与 NTP 协议有关。进程列表中要检查的名称不仅包括,ntpd还包括chronysystemd-timesyncd以及其他 ntp 客户端。

https://help.ubuntu.com/lts/serverguide/NTP.html.en

由于 SPT(源端口)不断变化,而 DPT(目标端口)稳定,因此可以假设相关程序是 NTP 客户端。但它也可能是 ntp 服务器,用于与更高级别的服务器同步。

相关内容