Я пытаюсь проанализировать высокий исходящий трафик с моей виртуальной машины. Анализируя логи iftop, я заметил, что много трафика идет с разных портов моей ВМ, таких как: 42272, :42292, :42294, :55166 и т.д.
Ниже представлен захват ифтоп-П-т-Л 10000 | grep "=>" |grep -v https
Я замаскировал свой IP-адрес как xx.xxx.x.x
1 xx.xxx.x.x:ssh => 142 КБ 67,8 КБ 67,8 КБ 542 КБ
561 хх.ххх.х.х:42272 => 688B 172B 172B 1,34 КБ
562 хх.ххх.х.х:42292 => 688B 172B 172B 1,34 КБ
563 хх.ххх.х.х:42294 => 687B 172B 172B 1,34 КБ
564 хх.ххх.х.х:55166 => 0B 172B 172B 1,34 КБ
565 хх.ххх.х.х:42322 => 686B 172B 172B 1,34 КБ
566 хх.ххх.х.х:42234 => 0B 171B 171B 1,34 КБ
567 хх.ххх.х.х:42306 => 684B 171B 171B 1,33 КБ
568 хх.ххх.х.х:42340 => 684B 171B 171B 1,33 КБ
569 хх.ххх.х.х:55276 => 0B 171B 171B 1,34 КБ
570 хх.ххх.х.х:42336 => 683B 171B 171B 1,33 КБ
571 хх.ххх.х.х:42194 => 0B 171B 171B 1,33 КБ
572 хх.ххх.х.х:55280 => 0B 171B 171B 1,33 КБ
573 хх.ххх.х.х:42282 => 681B 170B 170B 1,33 КБ
574 хх.ххх.х.х:55178 => 0B 170B 170B 1,33 КБ
575 хх.ххх.х.х:42274 => 680B 170B 170B 1,33 КБ
576 хх.ххх.х.х:42196 => 0B 170B 170B 1,32 КБ
Я не знаю, что это за трафик. Я думаю, что весь трафик к моей виртуальной машине должен проходить через сервер apache (порт 443) и немного от: 22 для моего ssh.
Когда я подсчитываю байты, отправленные через вышеуказанные порты, это не так много ... около 32 КБ / с, но все же, если это атака, я хотел бы это исправить.
Так законен ли этот трафик для этих подозрительных портов? Если нет, то какими должны быть мои следующие шаги..
