原因不明のオープンネットワーク接続を診断して処理する方法
自分のホームネットワークで不明なクライアントのアクティビティを確認するためにWiresharkを使用していたところ、驚いたことに、自分のコンピューターによって確立された奇妙な接続が見つかりました。すべてのクライアントをネットワークから切断しましたが、自分でコンピューターを再起動し、rootとしてログインしましたが、プログラムを起動せず、wiresharkを再度実行しました。驚いたことに、接続はまだ行われていました:
192.168.25.204
uTorrentトランスポートプロトコル...?トレントクライアントを開いていません。 ps -e出力:
そしてDebianの組み込みwhoisによると、これらのIPはSKYとAT&Tに属しています。後に登場した他のIPもAT&Tに属し、その他は中国と台湾のランダム企業に属しています。
これをどのように診断し、それに対して何ができる/すべきですか?
取得したパケットキャプチャを見ると、コンピューターが接続の試行(ポートに到達できないメッセージ)を拒否しているように見えるため、システム上で何かが実行されていることがトラフィックの原因であるとは限らず、他のコンピューターが届きます。
しかし明らかなのは、あなたとそれらのホストの間のアクセスを制限するファイアウォールがないことです。これでRFC 1918アドレス(192.168.25.204)が取得されたので、通常、トラフィックは直接ルーティングできません。
ファイアウォールにポート転送またはアドレス転送の設定がありますか?もしそうなら、あなたがそれを必要としないときに制限することをお勧めします。
それとは別に、過去に彼らのマシンでビットトレントを実行したことがありますか?もしそうなら、それはあなたが古い情報に基づいてあなたに接続しようとしている一部の急流の1つの他のシステムである可能性があります...
UTorrentプロトコルには何の問題もないようです。これらは着信接続ですが、前に述べたように、Torrentクライアントを実行していません。以前に食べましたか?トレントクライアントは、あなたのIPがキャッシュにある場合、あなたとの接続を開こうとするので、基本的に彼らはあなたの閉じたドアをノックしています。
境界ルーターから192.168.25.204ポート62456にトラフィックを明示的にリダイレクトしていない場合、最近、Bittorrentクライアントを使用したことがあるので、ルーターは引き続きそのIPへの接続を変換テーブル(NAT)で記憶しています。
その場合、ルーターをリセットするか、ルーター構成インターフェイスに入力して変換テーブルを消去することにより、そのトラフィック(リモートIPアドレスからルーターへのトラフィックではない)を停止できます。