네트워크 트래픽을 분석하기 위해 iftop을 사용하고 있는데 다음 출력이 혼란스럽습니다.
188.25.15.139:11596 => 104.31.112.90:8880 130KB 32KB 19KB
<= 162KB 51KB 30KB
내 IP는 188.25.15.139입니다.
104.31.112.90:8880에서 오는 트래픽 나는 나에게 전송되는 패킷으로 해석할 것입니다. 이것은 상대방이 보내고 싶어하는 만큼일 수 있습니다(내 해석이 맞습니까?)
내 문제는 나에게서 오는 트래픽입니다(188.25.15.139:11596). UFW가 있고 11596(중요한 경우 8880)을 차단하므로 포트 11596에서 "나에게서"를 가질 이유가 없습니다. 트래픽이 너무 많습니다.
또한 11596 또는 8880을 수신하는 프로세스가 없습니다. 다음을 사용하여 이를 확인했습니다.
sudo ss -lptn 'sport = :11596'
sudo ss -lptn 'sport = :8880'
주요 질문: "나로부터" 트래픽을 어떻게 해석합니까?
lsb_release -a
사용 가능한 LSB 모듈이 없습니다.
게시자 ID: Ubuntu
설명: Ubuntu 16.04.4 LTS
버전: 16.04
코드명: xenial
uname -a
Linux gigi-desktop 4.13.0-37-generic #42~16.04.1-Ubuntu SMP Wed Mar 7 16:03:28 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
편집하다
iftop -f "not dst port 443 and not src port 443 and not dst port 80 and not src port 80 and not dst port 53 and not src port 53 and not dst port 123 and not src port 123"
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[1] 22 LIMIT IN Anywhere
[2] 80 ALLOW IN Anywhere
[3] 443 ALLOW IN Anywhere
답변1
내가 빨리 얻은 대답은 다음과 같았다.
JavaScript 애플리케이션은 104.31.112.90:8880으로 데이터를 보내고 받고 있습니다.
내가 성공적으로 사용했는지 확인하려면 다음을 수행하십시오.
telnet 104.31.112.90 8880
이는 8880이 원래 나에게 연결된 104.31.112.90과 같은 임의의 포트가 아닐 가능성이 높다는 것을 의미합니다. 이는 어떻게든 104.31.112.90:8880에 대한 연결을 시작한 사람이 나였음을 의미합니다. 더 자세히 조사한 결과 104.31.112.90이 cloudflare 서버라는 사실을 발견했습니다. 아마도 제가 사용하고 있는 일종의 웹 서비스를 호스팅하는 서버일 것입니다.
많은 탭이 있는 브라우저가 열려 있다는 점을 고려하면 104.31.112.90:8880의 일부 웹 서비스를 사용하는 JavaScript 애플리케이션이 있을 가능성이 높습니다. iftop을 사용할 때 포트 53, 80, 123, 443을 무시하면 열려 있는 브라우저 탭에서 이미 실행 중인 JavaScript에 도움이 되지 않습니다.