iftop e tráfego na porta bloqueada

0

Estou analisando o tráfego de rede com iftop e estou confuso com essa saída:

188.25.15.139:11596     => 104.31.112.90:8880       130KB     32KB     19KB
                        <=                          162KB     51KB     30KB

Meu ip é 188.25.15.139.

O tráfego de 104.31.112.90:8880 eu explicaria como pacotes enviados para mim - esses poderiam ser tanto quanto o outro quer enviar (é a minha explicação correta?)

Meu problema é com o tráfego de mim (188.25.15.139:11596); Eu tenho UFW que bloqueia 11596 (também 8880, se isso importa), então não vejo razão para ter um tráfego tão grande "de mim" na porta 11596.

Também não tenho escutas de processo no 11596 ou 8880; Eu verifiquei isso com:

sudo ss -lptn 'sport = :11596'  
sudo ss -lptn 'sport = :8880'

Pergunta principal: como alguém poderia explicar o tráfego "de mim"?

lsb_release -a

Nenhum módulo LSB está disponível.
ID do Distribuidor: Ubuntu
Descrição: Ubuntu 16.04.4 LTS
Lançamento: 16.04
Codename: xenial

uname -a

Linux gigi-desktop 4.13.0-37-genérico # 42 ~ 16.04.1-Ubuntu SMP quarta-feira 7 de março 16:03:28 UTC 2018 x86_64 x86_64 x86_64 GNU / Linux

EDITAR

iftop -f "not dst port 443 and not src port 443 and not dst port 80 and not src port 80 and not dst port 53 and not src port 53 and not dst port 123 and not src port 123"

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[1] 22                         LIMIT IN    Anywhere                  
[2] 80                         ALLOW IN    Anywhere                  
[3] 443                        ALLOW IN    Anywhere                  
    
por adrhc 01.04.2018 / 21:58

1 resposta

0

Logo a resposta é:

uma aplicação javascript está enviando e recebendo dados para / de 104.31.112.90:8880.

Para descobrir que usei com sucesso:

telnet 104.31.112.90 8880

Isto significa que o 8880 mais provável não é uma porta aleatória como quando 104.31.112.90 seria inicialmente conectado a mim; isso significa que de alguma forma fui eu quem iniciou a conexão com 104.31.112.90:8880. Depois de escavar ainda mais descobri que 104.31.112.90 é um servidor cloudflare; mais provável que seja um servidor que hospeda um serviço da web de algum tipo que eu estava consumindo.

Considerando que eu já tinha o navegador aberto com muitas abas, então provavelmente um aplicativo javascript estava consumindo alguns serviços da Web a partir de 104.31.112.90:8880. Ignorar 53, 80, 123, 443 portas ao usar iftop não pode ajudar com a execução do javascript nas abas do navegador já abertas.

    
por 04.04.2018 / 15:38