当我对我的办公室电脑进行一些网络安全检查时(我是业余爱好者),我发现了一些未知的 tcp6 连接(带有netstat -nt):
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
... (omitted known connections)
tcp6 0 0 aaa.bbb.ccc.ddd:1716 aaa.bbb.ccc.eee:55714 ESTABLISHED
tcp6 0 0 aaa.bbb.ccc.ddd:60810 aaa.bbb.ccc.fff:1716 ESTABLISHED
我自己的 ip 在哪里aaa.bbb.ccc.ddd。另外两个未知 ip 确实来自同一个子网,但我不知道为什么打开了这些连接。
问题:
在哪里可以找到这些连接的日志,例如,谁初始化了连接以及如何允许/授权这些连接(如果这是正确的词)?
这是网络攻击的迹象吗?因为我不记得使用过任何需要来自同一子网的 TCP 连接的服务。此外,我已经重启了几次,这些连接似乎总是自动弹出。
如果这表明可能存在不安全因素,我该怎么办?
更新: 根据 @larsks 和@ NikitaKipriyanov 的建议,我发现这些连接是由 kdeconnect 建立的,它会扫描本地网络中可用的配对设备。但它只是维护这样一个列表,而没有实际配对,所以目前不应该有任何安全问题。
答案1
在哪里可以找到这些连接的日志,例如,谁初始化了连接以及如何允许/授权这些连接(如果这是正确的词)?
这个问题实际上没有一个普遍的答案。
此类信息的记录取决于特定的应用程序(例如,对于 Web 服务器,您可能会有某种访问日志,而类似的内容ssh将默认记录到系统日志中)。
这是网络攻击的迹象吗?
这里的信息不足以做出该决定。考虑运行sudo netstat -tnp(-p将显示与每个连接关联的进程;sudo需要运行才能查看当前用户不拥有的进程)。
如果您对此命令的输出有疑问,请更新您的问题以包含输出。
如果这表明可能存在不安全因素,我该怎么办?
对于入侵的一般反应是 (a) 确定是什么允许入侵,然后 (b) 擦除并重新安装系统,以及 (c) 确保新的配置不允许相同的访问方法。
但正如我之前所说,目前还没有足够的信息来判断这是否是一件需要担心的事情。