在工作中对 Ubuntu Server 有了一定的了解并想成为一名渗透测试员后,我刚刚在家里的电脑上安装了它。
我在逻辑分区上安装了最新版本(主分区包含 Win7),没有选择任何额外模块(我认为)。我安装了 ngrep 并启动它(与 TCPdump 一起),立即看到一些我无法识别的奇怪流量。
我的电脑每隔几秒钟就会向一系列看似随机的 IP 地址发送 UDP 数据包,所有数据包都在同一个端口上(47669 - 虽然我也看到它有一段时间使用了另一个端口)。
我观察了它大约 20 分钟,试图弄清楚它为什么会这样做。唯一的其他流量是路由器的奇怪 ARP 请求和来自路由器的 SSDP UPnP 广播。
有人知道这是什么吗?或者有什么建议可以帮你找出答案吗?
谢谢。
编辑:实际上,不是我的盒子产生了流量。它从一系列 IP 地址接收该端口上的流量,并返回“端口不可访问”消息。
答案1
您的数据包#48 似乎与 bittorrent 有关。
比较:
0000 64 31 3a 61 64 32 3a 69 64 32 30 3a fe 2a 2f 4a d1:ad2:id20:.*/J
0010 2d ce be 0b 3b 0c 9f 41 e8 9e 04 56 b3 d7 be ce -...;..A...V....
0020 65 31 3a 71 34 3a 70 69 6e 67 31 3a 74 32 3a 04 e1:q4:ping1:t2:.
0030 8e 31 3a 76 34 3a 4c 54 00 0f 31 3a 79 31 3a 71 .1:v4:LT..1:y1:q
0040 65 e
和:
announce_peers Query = {"t":"aa", "y":"q", "q":"announce_peer", "a":
{"id":"abcdefghij0123456789", "info_hash":"mnopqrstuvwxyz123456", "port": 6881,
"token": "aoeusnth"}}
bencoded = d1:ad2:id20:abcdefghij01234567899:info_hash20:<br />mnopqrstuvwxyz1234564:
porti6881e5:token8:aoeusnthe1:q13:announce_peer1:t2:aa1:y1:qe
来源:http://bittorrent.org/beps/bep_0005.html
虽然我不能确定其他较短的数据包,但很可能是类似的噪音。