Início / unix / Perguntas / 434896
Accepted
Adrian
Asked: 2018-04-02 11:58:47 +0800 CST

iftop e tráfego na porta bloqueada

  • 772

Estou analisando o tráfego de rede com iftop e estou intrigado com esta saída:

188.25.15.139:11596     => 104.31.112.90:8880       130KB     32KB     19KB
                        <=                          162KB     51KB     30KB

Meu ip é 188.25.15.139.

O tráfego de 104.31.112.90:8880 eu explicaria como pacotes enviados para mim - esses podem ser tanto quanto o outro deseja enviar (minha explicação está correta?)

Meu problema é com o tráfego de mim (188.25.15.139:11596); Eu tenho o UFW que bloqueia 11596 (também 8880, se isso importa), então não vejo razão para ter um tráfego tão grande "de mim" na porta 11596.

Também não tenho nenhum processo escutando em 11596 ou 8880; Eu verifiquei isso com: 

sudo ss -lptn 'sport = :11596'  
sudo ss -lptn 'sport = :8880'

Questão principal: como explicar o tráfego "de mim"?

lsb_release -a

Nenhum módulo LSB está disponível.
ID do Distribuidor: Ubuntu
Descrição: Ubuntu 16.04.4 LTS
Lançamento: 16.04
Codinome: xenial 

uname -a

Linux gigi-desktop 4.13.0-37-genérico #42~16.04.1-Ubuntu SMP Qua 7 de março 16:03:28 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

EDITAR

iftop -f "not dst port 443 and not src port 443 and not dst port 80 and not src port 80 and not dst port 53 and not src port 53 and not dst port 123 and not src port 123"

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[1] 22                         LIMIT IN    Anywhere                  
[2] 80                         ALLOW IN    Anywhere                  
[3] 443                        ALLOW IN    Anywhere
networking iftop

1 respostas

  1. Best Answer

    Em breve a resposta é:

    um aplicativo javascript está enviando e recebendo dados de/para 104.31.112.90:8880.

    Para descobrir que usei com sucesso:

    telnet 104.31.112.90 8880

    Isso significa que o 8880 mais provável não é uma porta aleatória como quando 104.31.112.90 seria inicialmente conectado a mim; isso significa ainda que, de alguma forma, fui eu quem iniciou a conexão com 104.31.112.90:8880. Depois de pesquisar mais, descobri que 104.31.112.90 é um servidor cloudflare; provavelmente é um servidor que hospeda algum tipo de serviço da web que eu estava consumindo.

    Considerando que eu já tinha o navegador aberto com muitas guias, provavelmente um aplicativo javascript estava consumindo alguns serviços da web de 104.31.112.90:8880. Ignorar as portas 53, 80, 123, 443 ao usar o iftop não ajudará se o javascript já estiver em execução nas guias do navegador já abertas.

    • 0

relate perguntas