Tráfego TCP pesado no loopback

Navegue suas respostas
4

Ao tentar gerar algum tráfego de teste na minha interface de loopback, notei que havia tanto ruído que a saída do Wireshark era essencialmente inútil, com toneladas de pacotes SYN / RST, ACK na porta 4101 (que alguns Googling sugerem ter para fazer com serviços de braille? Eu não estou ciente de que estou executando nada remotamente relacionado a isso, mas, em seguida, agan, este é o Ubuntu que estamos falando). 

ggoncalves@inspiron:~$ sudo netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      4776/dnsmasq        
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      2626/systemd-resolv 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      11501/cupsd         
tcp        0      0 0.0.0.0:53127           0.0.0.0:*               LISTEN      6789/transmission-g 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      2626/systemd-resolv 
tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      2625/sshd           
tcp6       0      0 ::1:631                 :::*                    LISTEN      11501/cupsd         
tcp6       0      0 :::53127                :::*                    LISTEN      6789/transmission-g 
tcp6       0      0 :::5355                 :::*                    LISTEN      2626/systemd-resolv 
tcp6       0      0 :::2222                 :::*                    LISTEN      2625/sshd           
ggoncalves@inspiron:~$

Saída do Wireshark

Isso é normal? Por que esse serviço não apareceria no netstat? Esse tráfego parece absolutamente inútil, então eu gostaria de desativá-lo, se possível.

    
por Guilherme 25.12.2016 / 23:07

2 respostas

4

O SYN / RST indica que a porta está fechada, então o aplicativo fecha a conexão, o que significa que ela seria visível no netstat durante apenas uma fração de segundo.

Você pode tentar eliminar o SYN desse tráfego com a seguinte regra de iptable: 

sudo iptables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP
sudo ip6tables -A INPUT -i lo0 -p tcp --dport 4101 -j DROP

Você deve então ser capaz de ver com o netstat qual aplicativo está gerando esse tráfego, pois ele permanecerá no estado "SYN enviado" durante algum tempo.

    
por 25.12.2016 / 23:25
2

O motivo de tal ruído na interface de loopback no meu caso (ubuntu 16.10) era xbrlapi.

Você pode identificar o software permitindo que ele tenha algo a ser conectado: por exemplo, nc -l 4101. Depois disso, o netstat -atulpn mostra qual processo está conectado ao nc em qual porta de origem.

    
por 26.01.2018 / 09:29

Tags

openssh - Adicionando uma chave ssh do putty para authorized_keys Forçar HTTPS no AWS ELB