Я просто немного поигрался с tcpdump (так как хотел проверить, почему мои письма не отправляются) и тем самым обнаружил очень странный и большой трафик на «частные IP-адреса». См. Примеры ниже:
05:11:23.639588 IP my.host.com.52822 > 192.168.114.56.www: S 4065505263:4065505263(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:23.639596 IP my.host.com.34872 > 192.168.110.57.https: S 4069841766:4069841766(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:26.087579 IP my.host.com.54247 > 192.168.114.56.81: S 4114834713:4114834713(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.087616 IP my.host.com.52828 > 192.168.114.56.www: S 4101565810:4101565810(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.727550 IP my.host.com.33281 > 192.168.110.56.https: S 4113254904:4113254904(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:26.727584 IP my.host.com.47730 > 192.168.114.57.www: S 4122721122:4122721122(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:27.647584 IP my.host.com.54252 > 192.168.114.56.81: S 4131156777:4131156777(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647618 IP my.host.com.52833 > 192.168.114.56.www: S 4133704551:4133704551(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647627 IP my.host.com.54254 > 192.168.114.56.81: S 4123314210:4123314210(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647634 IP my.host.com.52835 > 192.168.114.56.www: S 4132548700:4132548700(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647642 IP my.host.com.34885 > 192.168.110.57.https: S 4137809804:4137809804(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:30.091556 IP my.host.com.54260 > 192.168.114.56.81: S 4169604542:4169604542(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.091593 IP my.host.com.52841 > 192.168.114.56.www: S 4177065598:4177065598(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.731561 IP my.host.com.33294 > 192.168.110.56.https: S 4178586582:4178586582(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>
05:11:30.731598 IP my.host.com.47743 > 192.168.114.57.www: S 4184486122:4184486122(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>
Буду очень признателен за совет, как мне еще узнать
1.) Какая программа отправляет этот трафик
Во-вторых, у меня вопрос. Как я могу проверить, проходит ли этот трафик через мои сетевые интерфейсы, чтобы он также был «отправлен» в сеть моего провайдера. Под этим вопросом я подразумеваю, является ли этот трафик только внутренним для моего сервера или этот трафик также "покидает" мой сервер (он, скорее всего, будет отброшен маршрутизаторами моего интернет-провайдера, но я не знаю, как работает tcpdumps, если этот показанный трафик является «внутренним» или «внешним» трафиком.
ОБНОВЛЕНИЕ: я взглянул на обрабатываемый файл, убил некоторые процессы и нашел программу: это был прокси-сервер, который я установил ... Но вопрос остается прежним: Имея этот пример tcpdump, приведенный выше, как я могу дальше найти программа, которая вызывает этот трафик, если не смотрит на список процессов и не убивает программы. и более того, вопрос в том, что этот трафик "уходит" с моего сервера или это только внутренний трафик
Большое спасибо!!! Йенс
Вы можете посмотреть интернет-сокеты и соединения, а также программы, которым они принадлежат, с помощью sudo lsof -i или sudo netstat -nap46 . Вы можете увидеть, покидает ли машина трафик, проезжая мимо -i $EXTERNAL_INTERFACE в tshark или tcpdump.
Похоже, вы делаете tcpdump на своей машине. Таким образом, вы можете отслеживать трафик, получаемый и отправляемый вашей машиной.
Если вы хотите знать, покидает ли этот трафик ваш сервер или нет, вам необходимо войти на сервер и запустить там tcpdump.
Если вы хотите проверить, есть ли у программы какое-то конкретное установленное соединение, вы можете использовать netstat -anp | grep <PORT>.