Я пытаюсь отладить соединение, которое появляется в моей среде с неизвестного сервера.
Я хочу найти PID, если он с ним связан. Пробовал netstat -anp, но ничего не нашел. Но соединение спорадическое, поэтому я попробовал ngrep
Результат выглядит странно, и я не смог найти документации, чтобы описать его.
Пример:
$ ngrep host 12.34.56.78
interface: eth0 (10.128.100.0/255.255.252.0)
filter: (ip or ip6) and ( host 12.34.56.78 )
#
I 12.34.56.78 -> 10.128.100.101 3:13
....E..L.G@.......fi.ro..{.{.8..#......2...........&..z .h...8.6.h..
#
10.128.100.101 - это хост, на котором я работаю.
Я хочу знать, что такое «3:13». Я не могу найти ни одного примера вывода ngrep, в котором есть что-то подобное.
Я знаю, что «I» спереди - это «ICMP», и это соответствует предупреждениям Snort, которые подсказали мне об этой проблеме.
Я думаю, что разобрался. Просмотрел исходный код ngrep.
Нашел это:
switch (proto) {
case IPPROTO_ICMP:
case IPPROTO_ICMPV6:
case IPPROTO_IGMP:
printf(" %u:%u", sport, dport);
}
"спорт" и "дпорт"
Что в случае ICMP, вероятно, означает «Тип», а не «порт».
Совершенно уверен, что это ICMP типа «3», что означает «пункт назначения недоступен». Однако я не уверен, является ли 13 «отметкой времени» или «общение запрещено административно» - хотя я подозреваю, что это последнее.
Теперь выясним, что на самом деле делать с этой аномалией.