在为我的办公室 PC 进行一些网络安全检查(我是业余爱好者)时,我发现了一些未知的 tcp6 连接(带有netstat -nt):
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
... (omitted known connections)
tcp6 0 0 aaa.bbb.ccc.ddd:1716 aaa.bbb.ccc.eee:55714 ESTABLISHED
tcp6 0 0 aaa.bbb.ccc.ddd:60810 aaa.bbb.ccc.fff:1716 ESTABLISHED
aaa.bbb.ccc.ddd我自己的ip在哪里。另外两个未知 ip 确实来自同一个子网,但我不知道为什么打开这些连接。
问题:
我在哪里可以找到这些连接的日志,例如,谁初始化了连接以及它们是如何被允许/授权的(如果这是正确的词)?
这是网络攻击的迹象吗?因为我不记得使用任何需要来自同一子网的 tcp 连接的服务。此外,我已经重新启动了几次,这些连接似乎总是自动弹出。
如果这表明任何可能的不安全感,我该怎么办?
更新:根据@larsks 和@ NikitaKipriyanov 的建议,我发现这些连接是由 kdeconnect 建立的,它会扫描可用设备以在本地网络中配对。但它只是维护这样一个列表而没有实际配对,所以此时不应该有任何安全问题。
这个问题真的没有一个普遍的答案。
此类信息的记录取决于特定的应用程序(例如,对于 Web 服务器,您可能会有某种访问日志,而
ssh默认情况下会记录到系统日志中)。这里没有足够的信息来做出这个决定。考虑运行
sudo netstat -tnp(这-p将显示与每个连接关联的进程;这sudo是查看当前用户不拥有的进程所必需的)。如果您对此命令的输出有疑问,请更新您的问题以包含输出。
对妥协的一般反应是 (a) 确定允许进入的内容,然后 (b) 擦除并重新安装系统,以及 (c) 确保新配置不允许相同的访问方法。
但正如我之前所说,目前还没有足够的信息来确定这是否值得担心。