我正在使用 iftop 分析网络流量,我对此输出感到困惑:
188.25.15.139:11596 => 104.31.112.90:8880 130KB 32KB 19KB
<= 162KB 51KB 30KB
我的 ip 是 188.25.15.139。
来自 104.31.112.90:8880 的流量我会解释为发送给我的数据包 - 这些可能与其他人想要发送的一样多(我的解释是否正确?)
我的问题是来自我的流量(188.25.15.139:11596);我有 UFW,它阻止了 11596(如果重要,也有 8880),所以我认为没有理由在端口 11596 上“来自我”的如此大的流量。
我也没有监听 11596 或 8880 的进程;我检查了这个:
sudo ss -lptn 'sport = :11596'
sudo ss -lptn 'sport = :8880'
主要问题:如何解释“来自我”的流量?
lsb_release -a
没有可用的 LSB 模块。
发行商 ID:Ubuntu
描述:Ubuntu 16.04.4 LTS
版本:16.04
代号:xenial
uname -a
Linux gigi-desktop 4.13.0-37-generic #42~16.04.1-Ubuntu SMP Wed Mar 7 16:03:28 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
编辑
iftop -f "not dst port 443 and not src port 443 and not dst port 80 and not src port 80 and not dst port 53 and not src port 53 and not dst port 123 and not src port 123"
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[1] 22 LIMIT IN Anywhere
[2] 80 ALLOW IN Anywhere
[3] 443 ALLOW IN Anywhere
很快,答案是:
javascript 应用程序正在向/从 104.31.112.90:8880 发送和接收数据。
为了找出我使用成功:
这意味着最可能的 8880 不是一个随机端口,就像最初连接到我的 104.31.112.90 一样;这进一步意味着不知何故是我发起了与 104.31.112.90:8880 的连接。进一步挖掘后发现104.31.112.90是cloudflare服务器;最有可能的是托管我正在使用的某种 Web 服务的服务器。
考虑到我已经打开了带有许多选项卡的浏览器,那么很可能一个 javascript 应用程序正在使用来自 104.31.112.90:8880 的一些 Web 服务。使用 iftop 时忽略 53、80、123、443 端口对于已经在已打开的浏览器选项卡中运行 javascript 没有帮助。