5400から5600の範囲の複数のポートでのこの奇妙なlocalhost IPトラフィックは何ですか?
Fedora 23マシンで最近見た問題(最新のアップデート)に遭遇しています。約130のIPパケットがloインターフェースを介して1秒間に1秒ごとにやり取りされます(時限プロセスのように)。約2〜5分間発生した後、数秒から数分停止し、その後すぐに再開します。 loインターフェイスのtcpdumpキャプチャでパケットトラフィックを確認できますが、IANA名以外に、使用している特定のポートに関する実際の情報を見つけることができません。また、tcpdumpによるプロトコルデバッグの専門家ではありません。いくつかのサンプルメッセージがここに貼り付けられますが、より完全なキャプチャのために、貼り付けビンへのポインタも含めます(そうです、* binサイトでSEの一般的な意見を読みましたが、数秒間でさえ、大きなキャプチャです、そして、今後の検索で見つけるために十分なはずです):
21:33:43.047410 IP localhost.localdomain.5665 > localhost.localdomain.44574: Flags [R.], seq 0, ack 2284755030, win 0, length 0
21:33:43.047448 IP localhost.localdomain.38818 > localhost.localdomain.5667: Flags [S], seq 1778200592, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047460 IP localhost.localdomain.5667 > localhost.localdomain.38818: Flags [R.], seq 0, ack 1778200593, win 0, length 0
21:33:43.047496 IP localhost.localdomain.37068 > localhost.localdomain.5669: Flags [S], seq 3846609184, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047508 IP localhost.localdomain.5669 > localhost.localdomain.37068: Flags [R.], seq 0, ack 3846609185, win 0, length 0
21:33:43.047544 IP localhost.localdomain.44684 > localhost.localdomain.amqps: Flags [S], seq 2934840620, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047556 IP localhost.localdomain.amqps > localhost.localdomain.44684: Flags [R.], seq 0, ack 2934840621, win 0, length 0
21:33:43.047592 IP localhost.localdomain.56366 > localhost.localdomain.jms: Flags [S], seq 3939722005, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047604 IP localhost.localdomain.jms > localhost.localdomain.56366: Flags [R.], seq 0, ack 3939722006, win 0, length 0
21:33:43.047640 IP localhost.localdomain.50540 > localhost.localdomain.v5ua: Flags [S], seq 3048240647, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047652 IP localhost.localdomain.v5ua > localhost.localdomain.50540: Flags [R.], seq 0, ack 3048240648, win 0, length 0
21:33:43.047688 IP localhost.localdomain.57428 > localhost.localdomain.questdb2-lnchr: Flags [S], seq 2388676920, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
ポートスキャンのように順番に進むように見えますが、常に5400〜5699のポート範囲内にあります。 Fedoraプロジェクトの貼り付けサイト https://da.Gd/Zr1b でさらに利用可能です。トラフィックが非常に多いため、キャプチャの最大20秒しか貼り付けることができませんでした。
私は通常、プロセスをlsofで調べて原因を突き止めますが、ポートは非常に高速で通過するため、lsofは接続を開くものをすべて見逃します。 Netstatも役に立ちません、または少なくとも私はそれを間違って使用している可能性があります。私が行った他のいくつかのトラブルシューティング手順は、ネットワークをシャットダウンして、イーサネットケーブルを抜くことでした。サイコロはありません。また、ntopのインスタンスを実行して、loインターフェースに接続するように指示しましたが、何も表示されませんでした。
それで、これが何であるかについて誰かが手掛かりを持っていますか?今日仕事から家に帰ったとき、デスクトップのネットワークウィジェットでそれに気付いたと言えます。前日にマシンを更新しましたが、そのとき見たlocalhostトラフィックはありませんでした。
私はそれを追跡する時間を得ました、そして私は答えを見つけたようです。これは「adb」です。Android Debug Bridgeサービス、Googleと一緒にインストールされていますAndroidツールパッケージ。娘の電話のブリックを解除するのに役立つように、マシンにインストールしました。 (質問しないでください)、それをシャットダウンするのを忘れました。しかし、それは数か月前のことで、4月にOSを更新するまで、デスクトップウィジェット(Gnome/MATEシステムモニターアプレット)にトラフィックが表示されなかったと言いました。更新の直後ではなく、19日。更新パッケージのリストにあるリリースノートを調べて、何かを更新してこれをレーダーで表示するネットワークまたはその他のパッケージがあったかどうかを確認しています。
とにかく、誰かが私がそれをどのように見つけたか知りたい場合に備えて、私がここで取った手順を記録しています。多分それは誰かを助けるでしょう。最初はWiresharkを使用しましたが、何を探すべきかわからなかったので、パターンがポート5401から始まり、奇数番号のポートを5699まで実行し、その後リサイクルしました。次に、基本に戻り、lsofのmanページを調べました。私は次のようにlsofコマンドを使用してしまいました:
lsof -i :5000-5700
これは、インターネットポート5000〜5700を使用するすべてのプロセスを示しています。いくつかのプロセスが表示され、「adb」がその1つである(ポート5037をリッスンしています)。 'avahi-deamon'も表示され、mDNS(ポート5353)でUDPを実行しています。 Zeroconf/Bonjour/whatnameは今は実行しないので、avahi-daemonをシャットダウンします。サイコロはなく、まだトラフィックがありました。それから私はadbを調べに行きました、それはマニュアルページ、適切なもの、whatisを持っていませんでした、そして 'dnf whatprovides/bin/adb'は空で出てきました。奇妙な。しかし、その上で「文字列」を実行し、それを少ないパイプにパイプすると、Word Androidが数回表示されます。ビンゴ。systemctlのサービスリストを見て、「adb。 service」が有効になりました。「systemctl disable adb.service」とwalaを使用して、トラフィックを停止したように遮断しました。
さて、それを行うのは暗闇の中でのショットだったので、シャットダウンする前にトラフィックを発生させていたのがadbであるかどうかはわかりませんでした。結局のところ、ポート5037でlisteningであることを証明できただけです。これらすべてのポートを調べて何をしているのだろうと思います。明らかに何かに接続しようとしています。時間があれば、ドキュメントを確認します。
悪い接続がたくさん表示されているようです(同期接続の直後に最初のフラグが続く)。これは、localhostを介して自分自身に接続しようとしていること、およびその接続がTCP/IPスタックによって閉じられている(リセットされている)ことを意味します。
万が一、hostsファイルを使用して広告/マルウェアドメインをlocalhost(172.0.0.1)にリダイレクトしていますか?ドメインがローカルホストに解決してから接続を確立しようとすると、この動作が発生しますが、そのポートにはアクティブなプロセスが監視していないため、カーネルによって接続がリセットされます(tcp /の実装が含まれています)。 IPスタック)