У меня есть такая проблема: если я взгляну на
iftop -i eth0 -o 10s -p -P
команда я получаю тонну информации о списке
192.168.8.119:ssh => 192.168.8.98:62424 5.12Kb 5.60Kb 8.94Kb
<= 320b 320b 453b
224.0.0.251:mdns => 192.168.8.98:mdns 0b 0b 0b
<= 0b 285b 641b
192.168.8.119:smtp => 87.246.7.246:53274 160b 32b 8b
<= 240b 48b 12b
192.168.8.119:smtp => 5.34.207.59:1832 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.107:34708 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.107:58290 0b 32b 8b
<= 0b 48b 12b
192.168.8.119:smtp => 5.34.207.59:50034 0b 0b 16b
<= 0b 0b 24b
192.168.8.119:45822 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45824 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45826 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45828 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
192.168.8.119:45830 => 192.168.8.118:microsoft-ds 0b 0b 22b
<= 0b 0b 12b
...
..
.
Например, я заблокировал несколько IP-адресов, но это портит мне день, если я вижу почти весь экран.
ufw deny from 5.34.207.107 to any
ufw deny out from any to 5.34.207.107
как мне найти и остановить наконец тот процесс, который вызывает 5.34.207.107,...? Это система Ubuntu 20.x.
решение1
Я думаю, вы упускаете контекст. Эти IP-адреса (5.34.207.XX) пытаются установить соединение. Похоже, что на вашей машине запущен почтовый сервер, и эти хосты пытаются подключиться к нему (вероятно, для рассылки спама)
Вы можете увидеть, что они пытаются установить соединение, посмотрев на порт. Все, что выше 1024 (но на самом деле больше похоже на > 20000) — это порт, открытый для подключения к другому хосту (исходящий)
Смотреть наЭфемерный порт.