localhost to localhost tráfico ICMP que es sospechoso ... ¿alguna idea de lo que está creando esto?

Navega tus respuestas
0

He visto esto en mi salida tcpdump ... es algo muy simple y lógico, pero no puedo ver ningún proceso con lsof o netstat haciendo una solicitud ICMP a su propio 127.0.0.1 cada 2-3 segundos. ¿Alguien tiene alguna idea de lo que está creando esto? gracias de antemano .. 

tcpdump -i eth0 ! port 22  and ! port 2222 and proto ICMP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
05:18:27.467081 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.467083 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.476988 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.476991 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.496957 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.496959 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.516949 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.516951 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 369
05:18:27.817068 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.817070 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.836987 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.836989 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.846966 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.846968 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.866970 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
05:18:27.866972 IP localhost.localdomain > localhost.localdomain: ICMP localhost.localdomain udp port 37064 unreachable, length 374
    
pregunta cfernandezlinux 29.03.2015 - 11:24
fuente

1 respuesta

1

Según esta respuesta de StackExchange , puede encontrarlo utilizando lsof buscando st = 07 en un socket sin formato: 

# lsof -n | grep -i st=07
ping      19241            gowenfawr    3u      raw                         0t0     477269 00000000:0001->00000000:0000 st=07
# ps aux | grep 1924[1]
gowenfawr    19241  0.0  0.0   8596   832 pts/0    S+   07:26   0:00 ping localhost
#
    
respondido por el gowenfawr 29.03.2015 - 13:32
fuente

Lea otras preguntas en las etiquetas

Inicio de sesión de las cuentas de Google: ¿es lo suficientemente bueno para los servicios financieros? Ataque proveniente de múltiples IPs