服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 奇怪的IP地址显示与OS X ssh
Intereting Posts
Weblogic SSL支持:12C丢弃SHA1支持? 添加用户到sudoers – 问题 LSI 9211-8i控制器不可操作 从多台PC使用相同的github帐户 SSL握手与CentOS,curl和ECDHE 解除分配的Azure虚拟机丢失IPv4 DNS地址 Spf第二个域的logging 在xm中删除命令 ASP经典+ IIS7的问题 如何跳过我的VPS中的grub安装? 每个用户路由似乎没有工作 NTFS权限:澄清寻求 在纯模式下使用WDS从2003 Server部署XP客户端的最佳指南是什么? 从另一个子网向AD-DNS进行DNS查找 我怎样才能决定执行IO的性质?

奇怪的IP地址显示与OS X ssh

我在Mac OS X上使用了DTrace,发现下面的脚本输出了正在build立的连接的信息:

$ cat script.d 

syscall::connect:entry { printf("execname: %s\n", execname); printf("pid: %d\n", pid); printf("sockfd: %d\n",arg0); socks = (struct sockaddr*)copyin(arg1, arg2); hport = (uint_t)socks->sa_data[0]; lport = (uint_t)socks->sa_data[1]; hport <<= 8; port = hport + lport; printf("Port number: %d\n", port); printf("IP address: %d.%d.%d.%d\n", socks->sa_data[2], socks->sa_data[3], socks->sa_data[4], socks->sa_data[5]); printf("======\n"); }

我在一个窗口中运行它:
$ sudo dtrace -s ./script.d

然后我从另一个窗口ssh到另一台机器。 我从我的dtrace窗口得到这个输出: 

 CPU ID FUNCTION:NAME 0 18696 connect:entry execname: ssh pid: 5446 sockfd: 3 Port number: 22 IP address: 192.168.0.207 ====== 0 18696 connect:entry execname: ssh pid: 5446 sockfd: 5 Port number: 12148 IP address: 109.112.47.108 ====== ^C

我可以解释的第一个IP地址(192.168.0.207),这是我连接的机器。 但是什么109.112.47.108机器? 它不显示在tcpdump或netstat -an中

是否有我的dtrace代码或我的连接系统调用如何工作的理解?

我想我已经弄明白了,这是我从Solarius站点抓取的dtrace脚本,需要改为BSD。

尝试对该地址执行traceroute并查看其位置。 如果只是几跳,那可能是防火墙或交换机。

这是意大利的vodaphone IP地址。 您是否连接到欧洲/意大利的ISP? 如果没有,最好开始担心。

端口12148看起来像病毒/木马问题 – 尽快清理感染系统尽快

grep 'sshd.*from' secure.log什么意思? 如果你以外的人通过SSHlogin,那么你有问题。 如果他们没有这可能是一个不成功的暴力尝试 。 你正在运行DenyHosts还是Fail2Ban?

我无法find任何有关syscall :: connect的文档,但是它看起来像是打印出套接字的两端。 当你从另一台机器运行脚本和SSH时会发生什么?

对于它的价值,这个IP似乎是vodafone.itnetworking的一部分。 注意: 

 > host -a 109.112.47.108 Trying "108.47.112.109.in-addr.arpa" Host 108.47.112.109.in-addr.arpa. not found: 3(NXDOMAIN) Received 116 bytes from 68.94.156.1#53 in 180 ms > host -a 47.112.109.in-addr.arpa Trying "47.112.109.in-addr.arpa" Received 112 bytes from 68.94.156.1#53 in 388 ms Trying "47.112.109.in-addr.arpa.domain_not_set.invalid" Host 47.112.109.in-addr.arpa not found: 3(NXDOMAIN) Received 139 bytes from 68.94.156.1#53 in 859 ms > host -a 112.109.in-addr.arpa Trying "112.109.in-addr.arpa" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20054 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;112.109.in-addr.arpa. IN ANY ;; ANSWER SECTION: 112.109.in-addr.arpa. 28800 IN SOA mivsx030.net.vodafone.it. hostmaster.vodafone.it. 9 10800 3600 2592000 900 112.109.in-addr.arpa. 28800 IN NS mivsx030.net.vodafone.it. 112.109.in-addr.arpa. 28800 IN NS gmigdns006.net.vodafone.it. Received 148 bytes from 68.94.156.1#53 in 373 ms