최근에 Ubuntu Desktop을 설치했습니다(추가 기능만 google-chrome 및 VLC임). UFW를 활성화하고 기본적으로 모든 발신 콘텐츠를 차단했을 때 아무런 조치도 취하지 않은 채 여러 발신 시도가 발생하는 것을 발견했습니다.
- 많은 사람들이 1e100.com(포트 443, UDP)에 액세스합니다. 나는 크롬이 이것을 보내고 있다고 가정합니다
- 일부는 deepintent.com(443, TCP)으로, 일부는 infi.net(443, UDP)으로, 일부는 rDNS 항목이 없는 IP 주소로 연결됩니다.
어떤 프로세스가 이 채팅을 생성하는지 알 수 있는 방법이 있나요?
답변1
lsof, fuser, netstat, 또는 같은 도구 ss는 하나 이상의 프로세스가 열린 소켓의 원격 주소를 식별하는 데 도움이 될 수 있으며 모두 역 지오코딩을 지원하지만 나가는 트래픽을 모두 차단하면 작동하지 않습니다. 이러한 명령에 대한 자세한 내용을 확인하세요. lsof관련 정보가 표시될 때까지 잠시 동안 반복적으로 실행 해 볼 수 있습니다 . 예를 들어 다음 명령은 lsofIPv4 또는 IPv6 소켓이 열릴 때까지(수신 TCP 소켓 제외) 2초마다 실행됩니다.
# until lsof -i4 -i6 -sTCP:^LISTEN; do sleep 2; done