在尝试在我的环回接口上生成一些测试流量时,我注意到那里有太多噪音,以至于 Wireshark 的输出基本上没有用,端口 4101 上有大量的 SYN/RST、ACK 数据包(一些谷歌搜索建议与盲文服务?我不知道我正在运行任何与此相关的远程操作,但是,然后,这是我们正在谈论的 Ubuntu)。
ggoncalves@inspiron:~$ sudo netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 4776/dnsmasq
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 2626/systemd-resolv
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 11501/cupsd
tcp 0 0 0.0.0.0:53127 0.0.0.0:* LISTEN 6789/transmission-g
tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 2626/systemd-resolv
tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN 2625/sshd
tcp6 0 0 ::1:631 :::* LISTEN 11501/cupsd
tcp6 0 0 :::53127 :::* LISTEN 6789/transmission-g
tcp6 0 0 :::5355 :::* LISTEN 2626/systemd-resolv
tcp6 0 0 :::2222 :::* LISTEN 2625/sshd
ggoncalves@inspiron:~$
这是正常的吗?为什么此服务不会出现在 netstat 上?这种流量看起来毫无用处,所以如果可能的话,我想禁用它。
SYN/RST 表示端口已关闭,因此应用程序将关闭连接,这意味着它在 netstat 中仅在几分之一秒内可见。
您可以尝试使用以下 iptable 规则删除此流量的 SYN:
然后,您应该能够使用 netstat 查看哪个应用程序正在生成此流量,因为它会在一段时间内保持“SYN sent”状态。
在我的案例(ubuntu 16.10)中,环回接口中出现这种噪音的原因是 xbrlapi。
您可以通过让软件连接到某些东西来识别该软件:例如 nc -l 4101。之后,netstat -atulpn 会向您显示哪个进程连接到 nc 的哪个源端口。