Início / unix / Perguntas / 786573
Accepted
Hugal31
Asked: 2024-11-13 21:05:15 +0800 CST

Como saber o que envia um pacote de transmissão na porta 8765

  • 772

Ao olhar o tráfego no Wireshark, notei que meu computador estava enviando um pacote UDP a cada três segundos no endereço de transmissão para a porta 8765, com o conteúdo "*" (42 em ASCII). Não parece ser uma resposta a nada. A porta de origem muda a cada pacote.

Tentei descobrir o que estava emitindo esse pacote, mas não obtive sucesso. Tentei:

  • Interrompendo todos os serviços não vitais que eu poderia pensar.
  • Adicione uma regra iptables para descartar os pacotes (isso interrompe os pacotes, mas não me ajuda a saber o que os emite).
  • Adicionei uma regra do iptables para interromper o encaminhamento e ver se de alguma forma ele foi encaminhado pelo meu computador, mas não.
  • Usei auditd com vários parâmetros, mas nada combinou e nem consegui encontrar um write(*,*,1)/send(*,*,1)/sendto(*,*,1,*,*)/sendmsg/sendmmsgcom a frequência certa. No entanto, não estou familiarizado com auditd.
    • auditctl -a exit,always -F arch=b64 -S socket -F a0=2 -F a1=2para procurar a criação de soquetes UDP IPv4.
    • auditctl -a exit,always -F arch=b64 -S connectapenas para procurar por alguma conexão.
    • auditctl -a exit,always -F arch=b64 -S write -S send -S sendto -F a2=1para combinar sende writesyscalls com comprimento de 1.
    • audictl -a exit,always -F arch=b64 -S sendmsg -S sendmmsg
    • Todos os itens acima com -F arch=b32instead.
  • Use netstat/ss, mas o soquete provavelmente tem vida curta, então não mostra nada.

Quais são outras maneiras de determinar o que transmite esse pacote? E se ele vier do kernel ou de um módulo do kernel? Como eu poderia saber?

networking

1 respostas

  1. Best Answer

    Há muitas maneiras de fazer isso.

    Eu costumo usar apenas bpftrace, copiar um dos scripts de /usr/share/bpftrace/tools, por exemplo, killsnoop.bt, e substituir pelas tracepoint:syscalls:sys_enter_kill syscalls correspondentes, sys_enter_sendmsge …_sendmmsg.

    Então fica algo assim

    #!/usr/bin/env bpftrace
BEGIN
{
    printf("Tracing sendto(x, x, 1, x, x) signals... Hit Ctrl-C to end.\n");
    printf("%-9s %-6s %-16s\n", "TIME", "PID", "COMM");
}

tracepoint:syscalls:sys_enter_sendto
{
    if (args->len == 1)
    {
        time("%H:%M:%S  ");
        printf("%-6d %-16s\n", pid, comm);
    }
}

    que pelo menos listará todas as chamadas sendmsge variantes em tempo real, o que provavelmente será suficiente para identificar quem faz o quê.

    Se não houver syscalls que enviem mensagens, é provável que seja um thread do kernel – você talvez esteja fazendo wireguard, SMB/CIFS, NFS/sunrpc no kernel e tenha esquecido disso? Grande candidato, também: módulos de kernel questionáveis ​​de "segurança de endpoint" de fornecedores de antivírus questionáveis.

    • 3

relate perguntas