新安装的 Ubuntu Server 出现奇怪的流量

新安装的 Ubuntu Server 出现奇怪的流量

在工作中对 Ubuntu Server 有了一定的了解并想成为一名渗透测试员后,我刚刚在家里的电脑上安装了它。

我在逻辑分区上安装了最新版本(主分区包含 Win7),没有选择任何额外模块(我认为)。我安装了 ngrep 并启动​​它(与 TCPdump 一起),立即看到一些我无法识别的奇怪流量。

我的电脑每隔几秒钟就会向一系列看似随机的 IP 地址发送 UDP 数据包,所有数据包都在同一个端口上(47669 - 虽然我也看到它有一段时间使用了另一个端口)。

我观察了它大约 20 分钟,试图弄清楚它为什么会这样做。唯一的其他流量是路由器的奇怪 ARP 请求和来自路由器的 SSDP UPnP 广播。

有人知道这是什么吗?或者有什么建议可以帮你找出答案吗?

谢谢。

编辑:实际上,不是我的盒子产生了流量。它从一系列 IP 地址接收该端口上的流量,并返回“端口不可访问”消息。

答案1

您的数据包#48 似乎与 bittorrent 有关。

比较:

0000  64 31 3a 61 64 32 3a 69 64 32 30 3a fe 2a 2f 4a   d1:ad2:id20:.*/J
0010  2d ce be 0b 3b 0c 9f 41 e8 9e 04 56 b3 d7 be ce   -...;..A...V....
0020  65 31 3a 71 34 3a 70 69 6e 67 31 3a 74 32 3a 04   e1:q4:ping1:t2:.
0030  8e 31 3a 76 34 3a 4c 54 00 0f 31 3a 79 31 3a 71   .1:v4:LT..1:y1:q
0040  65                                                e

和:

announce_peers Query = {"t":"aa", "y":"q", "q":"announce_peer", "a":
    {"id":"abcdefghij0123456789", "info_hash":"mnopqrstuvwxyz123456", "port": 6881, 
     "token": "aoeusnth"}}
bencoded = d1:ad2:id20:abcdefghij01234567899:info_hash20:<br />mnopqrstuvwxyz1234564:
     porti6881e5:token8:aoeusnthe1:q13:announce_peer1:t2:aa1:y1:qe

来源:http://bittorrent.org/beps/bep_0005.html

虽然我不能确定其他较短的数据包,但很可能是类似的噪音。

相关内容