¿Qué es este extraño tráfico IP de host local en múltiples puertos en el rango 5400-5600?

Question

¿Qué es este extraño tráfico IP de host local en múltiples puertos en el rango 5400-5600?

#1 de db_ (2 votos)
#2 de Daisetsu (1 votos)

2

Estoy encontrando un problema que recientemente he visto en mi máquina Fedora 23 (últimas actualizaciones). Recibo alrededor de 130 paquetes IP que pasan de un lado a otro sobre la interfaz lo de una vez, cada 1 segundo (como un proceso cronometrado). Ocurre durante unos 2 a 5 minutos, luego se detiene durante unos segundos a un par de minutos, y luego vuelve a comenzar de nuevo. Puedo ver el tráfico de paquetes en una captura de tcpdump en la interfaz lo, pero no puedo encontrar información real sobre los puertos particulares que está utilizando, excepto los nombres de la IANA, y no soy un experto en la depuración de protocolos con tcpdump. Aquí se pegan un par de mensajes de muestra, pero también incluiré un puntero a una bandeja de pegado para una captura más completa (sí, leí la opinión general de SE en los sitios * bin, pero es una captura enorme incluso por un par de segundos). y suficiente debería estar aquí para futuras búsquedas para encontrar):

21:33:43.047410 IP localhost.localdomain.5665 > localhost.localdomain.44574: Flags [R.], seq 0, ack 2284755030, win 0, length 0
21:33:43.047448 IP localhost.localdomain.38818 > localhost.localdomain.5667: Flags [S], seq 1778200592, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047460 IP localhost.localdomain.5667 > localhost.localdomain.38818: Flags [R.], seq 0, ack 1778200593, win 0, length 0
21:33:43.047496 IP localhost.localdomain.37068 > localhost.localdomain.5669: Flags [S], seq 3846609184, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047508 IP localhost.localdomain.5669 > localhost.localdomain.37068: Flags [R.], seq 0, ack 3846609185, win 0, length 0
21:33:43.047544 IP localhost.localdomain.44684 > localhost.localdomain.amqps: Flags [S], seq 2934840620, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047556 IP localhost.localdomain.amqps > localhost.localdomain.44684: Flags [R.], seq 0, ack 2934840621, win 0, length 0
21:33:43.047592 IP localhost.localdomain.56366 > localhost.localdomain.jms: Flags [S], seq 3939722005, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047604 IP localhost.localdomain.jms > localhost.localdomain.56366: Flags [R.], seq 0, ack 3939722006, win 0, length 0
21:33:43.047640 IP localhost.localdomain.50540 > localhost.localdomain.v5ua: Flags [S], seq 3048240647, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0
21:33:43.047652 IP localhost.localdomain.v5ua > localhost.localdomain.50540: Flags [R.], seq 0, ack 3048240648, win 0, length 0
21:33:43.047688 IP localhost.localdomain.57428 > localhost.localdomain.questdb2-lnchr: Flags [S], seq 2388676920, win 43690, options [mss 65495,sackOK,TS val 9036387 ecr 0,nop,wscale 7], length 0

Parece ir en secuencia, como un escaneo de puertos, pero siempre permanece dentro del rango de puertos 5400-5699. Hay más disponible en el sitio de pegado del Proyecto Fedora: enlace . ¡Solo pude pegar hasta 20 segundos de captura porque hay mucho tráfico!

Normalmente buscaría el proceso en un lsof y rastrearía al culpable, pero los puertos pasan tan rápido que lsof pierde lo que sea que abra la conexión. Netstat tampoco ayuda, o al menos puedo estar usando mal. Algunos otros pasos de solución de problemas que tomé fueron cerrar la red y sacar el cable Ethernet. No dados. También ejecuté una instancia de ntop, indicándole que se conectara a la interfaz lo, pero no podía ver nada.

Entonces, ¿alguien tiene una pista en cuanto a qué es esto? Puedo decir que lo noté en el widget de mi red en el escritorio cuando llegué a casa del trabajo hoy, y había actualizado la máquina el día anterior, pero no vi ningún tráfico de localhost.

ports tcp

pregunta db_ 23.04.2016 - 04:35

fuente

2 respuestas

Lea otras preguntas en las etiquetas ports tcp

SQLMap eliminó los elementos de la base de datos ¿Cómo puedo enumerar todos los certificados autofirmados en mis tiendas en un cliente de Windows?

score 2 · Answer 1

Tengo tiempo para rastrearlo, y parece que encontré la respuesta. Es 'adb', el servicio Android Debug Bridge, instalado con el paquete de herramientas de Android de Google. Lo puse en mi máquina para ayudar a desbloquear el teléfono de mi hija (no preguntes) y me olvidé de apagarlo. Pero eso fue hace meses, y como dije, no vi el tráfico en mi widget de escritorio (subprograma Gnome / MATE System Monitor) hasta después de actualizar el sistema operativo el 19 de abril, y no inmediatamente después de la actualización. Estoy revisando las notas de la versión de la lista de paquetes actualizados ahora para ver si había un paquete de red u otro que actualizase algo para que esto aparezca en el radar.

De todos modos, estoy grabando los pasos que tomé aquí en caso de que alguien quiera saber cómo lo encontré, tal vez ayude a alguien algún día. Comencé usando Wireshark, pero sin saber realmente qué buscar, todo lo que podía notar era que el patrón comenzó en el puerto 5401, corrió todos los puertos impares hasta 5699 y luego se recicló. Luego volví a lo básico y busqué la página del manual para lsof. Terminé usando el comando lsof así:

lsof -i :5000-5700

Muestra todos los procesos que utilizan los puertos de Internet 5000 a 5700. Aparecieron un par de procesos, uno de ellos 'adb' (escucha en el puerto 5037). 'avahi-deamon' también apareció, ejecutando UDP en mDNS (puerto 5353). No ejecuto Zeroconf / Bonjour / cualquiera que sea el nombre de archivo ahora, así que apago avahi-daemon. Sin dados, todavía tenía el tráfico. Luego fui a buscar adb, no tenía ninguna página de manual, ni a propósito, ni whatis, y un 'dnf whatprovides / bin / adb' apareció vacío. Extraño. Sin embargo, ejecutar una 'cadena' en él y canalizarlo para mostrar menos la palabra ANDROID aparece unas cuantas veces. Bingo. Eché un vistazo a la lista de servicios en systemctl y vi que 'adb.service' estaba habilitado. Lo apagué con 'systemctl disable adb.service', y wala, como por ejemplo, el tráfico se detuvo.

Ahora, hacer eso fue solo un disparo en la oscuridad, no estaba seguro de que fuera adb el que estaba haciendo tráfico antes de que lo cerrara. Después de todo, solo pude demostrar que estaba escuchando en el puerto 5037. Me pregunto qué está haciendo al mirar a través de todos esos puertos. Obviamente tratando de conectarse a algo. Cuando tenga más tiempo, revisaré la documentación.

score 1 · Answer 2

Parece que estás viendo MUCHAS conexiones malas (sinte la conexión inmediatamente seguida de las primeras banderas). Esto significa que está intentando establecer una conexión con usted mismo a través de localhost, y la pila TCP / IP está cerrando (restableciendo) la conexión.

¿Es posible que esté utilizando un archivo de hosts para redirigir los dominios de anuncios / malware a localhost (172.0.0.1)? Eso causaría este comportamiento, ya que el dominio se resuelve en el host local, luego intenta hacer una conexión, pero ese puerto no tiene un proceso activo mirándolo, por lo que la conexión es restablecida por el núcleo (contiene la implementación de su TCP / pila ip)