tcpdump 显示这些主机名 - 我应该担心吗

tcpdump 显示这些主机名 - 我应该担心吗

我正在调查我们的 NextCLoud 实例的奇怪挂起,并认为这可能与某处配置错误的主机名有关。

我想用它tcpdump看看所引用的地址/名称。

我运行该命令tcpdump -i enp5s0 > /tmp/tcp.log大约花了 5 分钟。

当我查看输出时,我发现了一些奇怪的地址。我认为这与问题无关,但我想知道这是否值得关注:

106.170.82.58.静态-corp.jastel.co.th.35330

11:47:57.290753 IP 106.170.82.58.static-corp.jastel.co.th.35330 > cloud.XXXXXXXXX.net.ssh: Flags [S], seq 1154598226, win 42340, options [mss 1360,sackOK,TS val 2510725273 ecr 0,nop,wscale 11], length 0 1

zg-1220i-109.stretchoid.com.42597

11:50:25.043264 IP cloud.XXXXXX.net.ssh > zg-1220i-109.stretchoid.com.42597: Flags [S.], seq 1828794685, ack 1103199325, win 64240, options [mss 1460], length 0

  • api.snapcraft.io.https*

11:50:24.962802 IP cloud.XXXXXX.net.48986 > api.snapcraft.io.https: Flags [.], ack 222012, win 2795, options [nop,nop,TS val 1961554452 ecr 3512315949], length 0

103.37.83.26.43824(列为已知暴力攻击者):

1:50:26.203026 IP cloud.XXXXXX.net.ssh > 103.37.83.26.43824: Flags [P.], seq 1697:1749, ack 1199, win 502, options [nop,nop,TS val 1492448763 ecr 2511812426], length 52
11:50:26.522299 IP 103.37.83.26.43824 > cloud.XXXXXX.net.ssh: Flags [P.], seq 1199:1251, ack 1749, win 148, options [nop,nop,TS val 2511815938 ecr 1492448763], length 52

bacdcb93.virtua.com.br.43782

11:50:14.786432 IP bacdcb93.virtua.com.br.43782 > cloud.XXXXXX.net.ssh: Flags [P.], seq 1047:1063, ack 1645, win 501, options [nop,nop,TS val 3954440590 ecr 2941860119], length 16
11:50:14.827272 IP cloud.XXXXXX.net.ssh > bacdcb93.virtua.com.br.43782: Flags [.], ack 1063, win 502, options [nop,nop,TS val 2941860404 ecr 3954440590], length 0

答案1

如果我理解你的问题正确的话:

这看起来就像一种ip-address.portnumber格式,其中:

  • 每当对 IP 地址的反向 DNS 查找成功时,数字 IP 地址就会转换为主机名
  • 端口号被转换为服务名称,只要它是一个“众所周知/保留”与特定服务关联/注册/分配的端口(在 中/etc/services

没什么可担心的。

相关内容