我有这个问题,如果我看
iftop -i eth0 -o 10s -p -P
命令我得到了大量的列表信息
192.168.8.119:ssh => 192.168.8.98:62424 5.12Kb 5.60Kb 8.94Kb
<= 320b 320b 453b
224.0.0.251:mdns => 192.168.8.98:mdns 0b 0b 0b
<= 0b 285b 641b
192.168.8.119:smtp => 87.246.7.246:53274 160b 32b 8b
<= 240b 48b 12b
192.168.8.119:smtp => 5.34.207.59:1832 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.107:34708 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.107:58290 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.59:50034 0b 0b 16b
<= 0b 0b 24b
192.168.8.119:45822 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45824 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45826 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45828 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45830 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
...
..
.
举个例子,我屏蔽了几个 IP 地址,但如果我看到全屏的 IP 地址,我的一天就毁了
ufw deny from 5.34.207.107 to any
ufw deny out from any to 5.34.207.107
我如何才能找到并最终停止那个调用 5.34.207.107 的进程?这是一个 ubuntu 20.x 系统。
答案1
我认为你没有理解上下文。这些 IP 地址 (5.34.207.XX) 是尝试建立连接的 IP 地址。似乎你的机器上运行着一个邮件服务器,这些主机正在尝试连接该服务器(可能是为了发送垃圾邮件)
通过查看端口,您可以看到他们正在尝试建立连接。 1024 以上的所有内容(但实际上更像是 > 20000)都是为连接到另一台主机(出站)而打开的端口
查找临时端口。