TCPDUMP = Como detectar e analisar o tráfego “suspeito” para endereços 192.xxx?

1

Eu apenas joguei um pouco com o tcpdump (como eu queria checar porque meus e-mails não estão sendo enviados) e assim descobri muito estranho e muito tráfego para os "IPs privados". Por favor, veja exemplos abaixo:

05:11:23.639588 IP my.host.com.52822 > 192.168.114.56.www: S 4065505263:4065505263(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:23.639596 IP my.host.com.34872 > 192.168.110.57.https: S 4069841766:4069841766(0) win 5840 <mss 1460,sackOK,timestamp 52563525 0,nop,wscale 6>
05:11:26.087579 IP my.host.com.54247 > 192.168.114.56.81: S 4114834713:4114834713(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.087616 IP my.host.com.52828 > 192.168.114.56.www: S 4101565810:4101565810(0) win 5840 <mss 1460,sackOK,timestamp 52564137 0,nop,wscale 6>
05:11:26.727550 IP my.host.com.33281 > 192.168.110.56.https: S 4113254904:4113254904(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:26.727584 IP my.host.com.47730 > 192.168.114.57.www: S 4122721122:4122721122(0) win 5840 <mss 1460,sackOK,timestamp 52564297 0,nop,wscale 6>
05:11:27.647584 IP my.host.com.54252 > 192.168.114.56.81: S 4131156777:4131156777(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647618 IP my.host.com.52833 > 192.168.114.56.www: S 4133704551:4133704551(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647627 IP my.host.com.54254 > 192.168.114.56.81: S 4123314210:4123314210(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647634 IP my.host.com.52835 > 192.168.114.56.www: S 4132548700:4132548700(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:27.647642 IP my.host.com.34885 > 192.168.110.57.https: S 4137809804:4137809804(0) win 5840 <mss 1460,sackOK,timestamp 52564527 0,nop,wscale 6>
05:11:30.091556 IP my.host.com.54260 > 192.168.114.56.81: S 4169604542:4169604542(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.091593 IP my.host.com.52841 > 192.168.114.56.www: S 4177065598:4177065598(0) win 5840 <mss 1460,sackOK,timestamp 52565138 0,nop,wscale 6>
05:11:30.731561 IP my.host.com.33294 > 192.168.110.56.https: S 4178586582:4178586582(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>
05:11:30.731598 IP my.host.com.47743 > 192.168.114.57.www: S 4184486122:4184486122(0) win 5840 <mss 1460,sackOK,timestamp 52565298 0,nop,wscale 6>

Eu ficaria muito agradecido pelo conselho de como posso descobrir ainda mais

1.) Qual programa está enviando esse tráfego

Em segundo lugar, tenho a pergunta. Como posso verificar se esse tráfego vai passar minhas interfaces de rede para que ele também seja "enviado" para a rede do meu provedor. O que eu quero dizer com essa pergunta é, isso é apenas tráfego interno para o meu servidor ou é esse tráfego também "deixando" o meu servidor. (Ele provavelmente será descartado pelos roteadores do meu ISP, mas eu não sei como funciona o tcpdumps, se este tráfego mostrado é "interno" ou "externo".

ATUALIZAÇÃO: Eu dei uma olhada no processtable e matei alguns processos e encontrei o programm: Foi um servidor proxy que eu instalei ... Mas a pergunta continua a mesma: Tendo este exemplo tcpdump dado acima, como eu poderia Além disso, encontrar o programm que está causando esse tráfego quando não está olhando para a lista de processos e matando programas. além disso, a questão é que esse tráfego "sai" do meu servidor ou é apenas esse tráfego interno

muito obrigado !!! jens

    
por jens 13.11.2010 / 11:29

2 respostas

2

Você pode verificar os sockets e conexões da Internet e os programas que os possuem com sudo lsof -i ou sudo netstat -nap46 . Você pode ver se o tráfego está saindo da máquina passando -i $EXTERNAL_INTERFACE para tshark ou tcpdump.

    
por 13.11.2010 / 12:21
0

Parece que você está fazendo o tcpdump na sua máquina. Desta forma, você pode monitorar o tráfego recebido e enviado pela sua máquina.

Se você quiser saber se esse tráfego vai sair do seu servidor ou não, você precisa fazer o login no servidor e rodar o tcpdump lá.

Se você quiser verificar se o programa tem alguma conexão estabelecida específica, você pode usar netstat -anp | grep <PORT> .

    
por 13.11.2010 / 12:18