我在 iftop 中经常看到类似这样的连接:
12.15.127.75.host.nwnx.net => 121.61.153.172 480b 160b 40b
我不知道它是什么,也不知道它来自哪里。Anetstat -a显示:
udp 0 0 12.15.127.75:netbios-ns *:*
udp 0 0 12.15.127.75:netbios-ns *:*
此刻我想我可能被黑客入侵了,但是有人有聪明的方法来调查这样的事情吗?
** 编辑 **
我用数据包嗅探器(tcpdump)查看了它,搜索了 124.134.97.173 的连接 IP
124.134.97.173.1317 > 12.15.127.75.host.nwnx.net.ms-sql-s: Flags [S], cksum 0xb2af (correct), seq 1417033873, win 65535, options [mss 1440,nop,nop,sackOK], length 0
12.15.127.75.host.nwnx.net.ms-sql-s > 124.134.97.173.1317: Flags [R.], cksum 0xdf4b (correct), seq 0, ack 1417033874, win 0, length 0
Transmission Control Protocol, Src Port: ms-sql-s (1433), Dst Port: vrts-ipcserver (1317), Seq: 1, Ack: 1, Len: 0
Source port: ms-sql-s (1433)
Destination port: vrts-ipcserver (1317)
但还是不知道该怎么办
谢谢
答案1
仅查看所提供的信息(虽然不多),我会说 Veritas 软件正在通过网络与 Ms-SQL 数据库进行通信。vrts-ipcserver 代表 Veritas 安装的管理服务之一。
您可以在这里找到有关 Veritas 端口的信息: http://h30499.www3.hp.com/t5/System-Administration/Ports-used-by-Veritas-admin-tools/td-p/3164261