Tôi đang thực hiện nhiệm vụ phân tích lưu lượng truy cập đầu ra cao từ máy ảo của mình. Phân tích nhật ký iftop, tôi nhận thấy rằng rất nhiều lưu lượng truy cập được thực hiện từ các cổng khác nhau trên máy ảo của tôi, chẳng hạn như :42272, :42292, :42294, :55166, v.v.
Dưới đây là chụp của iftop -P -t -L 10000 | grep "=>" |grep -v https
Tôi đã ẩn địa chỉ ip của mình thành xx.xxx.x.x
1 xx.xxx.x.x:ssh => 142KB 67,8KB 67,8KB 542KB
561 xx.xxx.x.x:42272 => 688B 172B 172B 1,34KB
562 xx.xxx.x.x:42292 => 688B 172B 172B 1,34KB
563 xx.xxx.x.x:42294 => 687B 172B 172B 1,34KB
564 xx.xxx.x.x:55166 => 0B 172B 172B 1,34KB
565 xx.xxx.x.x:42322 => 686B 172B 172B 1,34KB
566 xx.xxx.x.x:42234 => 0B 171B 171B 1,34KB
567 xx.xxx.x.x:42306 => 684B 171B 171B 1,33KB
568 xx.xxx.x.x:42340 => 684B 171B 171B 1,33KB
569 xx.xxx.x.x:55276 => 0B 171B 171B 1,34KB
570 xx.xxx.x.x:42336 => 683B 171B 171B 1,33KB
571 xx.xxx.x.x:42194 => 0B 171B 171B 1,33KB
572 xx.xxx.x.x:55280 => 0B 171B 171B 1,33KB
573 xx.xxx.x.x:42282 => 681B 170B 170B 1,33KB
574 xx.xxx.x.x:55178 => 0B 170B 170B 1,33KB
575 xx.xxx.x.x:42274 => 680B 170B 170B 1,33KB
576 xx.xxx.x.x:42196 => 0B 170B 170B 1,32KB
Tôi không biết giao thông này là gì. Tôi nghĩ rằng tất cả lưu lượng truy cập vào máy ảo của tôi phải thông qua máy chủ apache (cổng 443) và một chút từ :22 cho ssh của tôi.
Khi tôi đếm số byte được gửi qua các cổng trên, nó không nhiều .. khoảng 32KB/s nhưng nếu đó là một cuộc tấn công, tôi muốn sửa nó.
Vì vậy, lưu lượng truy cập cho các cổng đáng ngờ này có hợp pháp không? Nếu không, bước tiếp theo của tôi nên làm gì..
