我最近被任命负责一个 HPC 集群,而上任管理员在记录所有事情方面做得并不好。我们的 IT 安全团队通知我们,我们的头节点经常访问一个可疑的免费软件网站,我们应该检查一下。我们的头节点是集群其余部分的 NAT,因此我假设流量实际上不是来自头节点,而是来自通过我们的头节点进行通信的其他计算机。一段时间以来,我一直在头节点上运行 tcpdump -vvvv -A 'host [headnode ext IP]' 来捕获往返于免费软件网站的数据包,但这并不能告诉我哪台机器实际上在发出这些请求。有人能给我一个命令来运行(或者可能是我遗漏的 tcpdump 标志)来告诉我向这个网站发出请求的实际主机吗?
答案1
我假设您有一个外部接口(可能eth0
),它正在为内部接口(可能eth1
带有 RFC1918 子网)上的机器执行 NAT。我会尝试运行 cap 来eth1
查看哪个后端 IP 正在访问 104.25.236.8。例如:tcpdump -i eth1 -vvvv -A src 104.25.236.8 or dst 104.25.236.8