我正在尝试分析来自我的虚拟机的高出站流量。分析 iftop 日志时,我注意到大量流量来自我的虚拟机的不同端口,例如 :42272、:42292、:42294、:55166 等。
iftop -P -t -L 10000 | grep "=>" |grep -v https
下面是我将我的 IP 地址屏蔽为 xx.xxx.xx的截图
1 xx.xxx.x.x:ssh => 142KB 67.8KB 67.8KB 542KB
561 xx.xxx.x.x:42272 => 688B 172B 172B 1.34KB
562 xx.xxx.x.x:42292 => 688B 172B 172B 1.34KB
563 xx.xxx.x.x:42294 => 687B 172B 172B 1.34KB
564 xx.xxx.x.x:55166 => 0B 172B 172B 1.34KB
565 xx.xxx.x.x:42322 => 686B 172B 172B 1.34KB
566 xx.xxx.x.x:42234 => 0B 171B 171B 1.34KB
567 xx.xxx.x.x:42306 => 684B 171B 171B 1.33KB
568 xx.xxx.x.x:42340 => 684B 171B 171B 1.33KB
569 xx.xxx.x.x:55276 => 0B 171B 171B 1.34KB
570 xx.xxx.x.x:42336 => 683B 171B 171B 1.33KB
571 xx.xxx.x.x:42194 => 0B 171B 171B 1.33KB
572 xx.xxx.x.x:55280 => 0B 171B 171B 1.33KB
573 xx.xxx.x.x:42282 => 681B 170B 170B 1.33KB
574 xx.xxx.x.x:55178 => 0B 170B 170B 1.33KB
575 xx.xxx.x.x:42274 => 680B 170B 170B 1.33KB
576 xx.xxx.x.x:42196 => 0B 170B 170B 1.32KB
我不知道这个流量是什么。我认为到我的虚拟机的所有流量都应该通过 apache 服务器(端口 443),还有一小部分来自 :22 的流量用于我的 ssh。
当我计算通过上述端口发送的字节数时,它并不多,大约 32KB/s,但如果它是一种攻击,我还是想修复它。
那么这些可疑端口的流量合法吗?如果不是,我下一步该怎么做?