Denuncie   Favoritos   Indicar  

Conexão estranha sempre presente no comando netstat

1. Conexão estranha sempre presente no comando netstat

Felipe Trevisan Amaro
FelipeAmaro
(usa Outra)

Enviado em 22/04/2021 - 10:22h

Bom dia.
Faz algum tempo que observo uma conexão bootpc/bootps sempre ativa através do comando netstat.
udp 0 0 felipe-acer:bootpc _gateway:bootps ESTABELECIDA

Segui as orientações de outro forum, no qual foi relatado problema similar ( https://askubuntu.com/questions/1205647/strange-output-for-netstat-command)
e tentei capturar com tcpdump, como sugerem no fórum, mas não há tráfego, independente do tráfego de internet. Mesmo quando não há atividade na internet ou requisições de domínio, a conexão permanece ativa. O número de conexões tcp ativas na minha máquina também parece elevado. Posto abaixo o resultado do camando netstat -W, com o navegador fechado. Desde já agradeço a ajuda.



Conexões Internet Ativas (sem os servidores)

Proto Recv-Q Send-Q Endereço Local          Endereço Remoto         Estado      

tcp        1     25 felipe-acer:55488       a104-122-228-52.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK

tcp        1     78 felipe-acer:46036       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:37648       ip186.ip-51-222-39.net:https ESTABELECIDA

tcp        0      0 felipe-acer:53888       ec2-52-67-231-119.sa-east-1.compute.amazonaws.com:https ESTABELECIDA

tcp        1     78 felipe-acer:46028       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:33342       136.144.59.88:https     ESTABELECIDA

tcp        1     78 felipe-acer:46044       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK

tcp        1     32 felipe-acer:56808       562.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ÚLTIMO_ACK

tcp        1     78 felipe-acer:46020       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:53226       gru14s27-in-f2.1e100.net:https ESTABELECIDA

tcp        0     64 felipe-acer:37604       ip186.ip-51-222-39.net:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:52120       172.67.175.194:https    ESTABELECIDA

tcp        1     64 felipe-acer:37614       ip186.ip-51-222-39.net:https FECHANDO   

tcp        0      0 felipe-acer:46052       a23-55-33-14.deploy.static.akamaitechnologies.com:https ESTABELECIDA

tcp        0      0 felipe-acer:40798       ec2-52-89-202-225.us-west-2.compute.amazonaws.com:https ESTABELECIDA

tcp        1     64 felipe-acer:37624       ip186.ip-51-222-39.net:https FECHANDO   

tcp        0      0 felipe-acer:52952       gru10s01-in-f2.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:51132       eze03s05-in-f226.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:43406       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ESTABELECIDA

tcp        0     64 felipe-acer:37640       ip186.ip-51-222-39.net:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:54990       eze03s15-in-f2.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:58448       gru06s59-in-f13.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:55366       199.232.113.108:https   ESTABELECIDA

tcp        1     32 felipe-acer:43398       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https FECHANDO   

tcp        0      0 felipe-acer:51136       65.8.208.126:https      ESTABELECIDA

tcp        0      0 felipe-acer:46742       gru06s26-in-f2.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:35304       gru14s13-in-f3.1e100.net:http ESTABELECIDA

tcp        0      0 felipe-acer:51082       49.69.95.34.bc.googleusercontent.com:https ESTABELECIDA

tcp        0      0 felipe-acer:40432       gru06s34-in-f2.1e100.net:https ESTABELECIDA

tcp        1     32 felipe-acer:43390       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:38458       eze03s36-in-f1.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:35302       gru14s13-in-f3.1e100.net:http ESTABELECIDA

tcp        0     64 felipe-acer:37632       ip186.ip-51-222-39.net:https ÚLTIMO_ACK

tcp        1     32 felipe-acer:43382       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ÚLTIMO_ACK

tcp        0      0 felipe-acer:36310       gru14s07-in-f4.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:50384       639.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ESTABELECIDA

tcp        0      0 felipe-acer:36310       gru14s07-in-f4.1e100.net:https ESTABELECIDA

tcp        0      0 felipe-acer:50384       639.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ESTABELECIDA

udp        0      0 felipe-acer:58370       b5d58403.virtua.com.br:domain ESTABELECIDA

udp        0      0 localhost:48589         localhost:domain        ESTABELECIDA

udp        0      0 localhost:57124         localhost:domain        ESTABELECIDA

udp        0      0 felipe-acer:bootpc      _gateway:bootps         ESTABELECIDA

udp        0      0 localhost:32902         localhost:domain        ESTABELECIDA

Domain sockets UNIX ativos (sem os servidores)





0 0
  • Quote

    •   


    2. Re: Conexão estranha sempre presente no comando netstat

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 22/04/2021 - 17:55h


    FelipeAmaro escreveu:

    Bom dia.
    Faz algum tempo que observo uma conexão bootpc/bootps sempre ativa através do comando netstat.
    udp 0 0 felipe-acer:bootpc _gateway:bootps ESTABELECIDA

    Segui as orientações de outro forum, no qual foi relatado problema similar ( https://askubuntu.com/questions/1205647/strange-output-for-netstat-command)
    e tentei capturar com tcpdump, como sugerem no fórum, mas não há tráfego, independente do tráfego de internet. Mesmo quando não há atividade na internet ou requisições de domínio, a conexão permanece ativa. O número de conexões tcp ativas na minha máquina também parece elevado. Posto abaixo o resultado do camando netstat -W, com o navegador fechado. Desde já agradeço a ajuda.


    
Conexões Internet Ativas (sem os servidores)
    
Proto Recv-Q Send-Q Endereço Local          Endereço Remoto         Estado      
    
tcp        1     25 felipe-acer:55488       a104-122-228-52.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK
    
tcp        1     78 felipe-acer:46036       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:37648       ip186.ip-51-222-39.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:53888       ec2-52-67-231-119.sa-east-1.compute.amazonaws.com:https ESTABELECIDA
    
tcp        1     78 felipe-acer:46028       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:33342       136.144.59.88:https     ESTABELECIDA
    
tcp        1     78 felipe-acer:46044       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK
    
tcp        1     32 felipe-acer:56808       562.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ÚLTIMO_ACK
    
tcp        1     78 felipe-acer:46020       a23-55-33-14.deploy.static.akamaitechnologies.com:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:53226       gru14s27-in-f2.1e100.net:https ESTABELECIDA
    
tcp        0     64 felipe-acer:37604       ip186.ip-51-222-39.net:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:52120       172.67.175.194:https    ESTABELECIDA
    
tcp        1     64 felipe-acer:37614       ip186.ip-51-222-39.net:https FECHANDO   
    
tcp        0      0 felipe-acer:46052       a23-55-33-14.deploy.static.akamaitechnologies.com:https ESTABELECIDA
    
tcp        0      0 felipe-acer:40798       ec2-52-89-202-225.us-west-2.compute.amazonaws.com:https ESTABELECIDA
    
tcp        1     64 felipe-acer:37624       ip186.ip-51-222-39.net:https FECHANDO   
    
tcp        0      0 felipe-acer:52952       gru10s01-in-f2.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:51132       eze03s05-in-f226.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:43406       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ESTABELECIDA
    
tcp        0     64 felipe-acer:37640       ip186.ip-51-222-39.net:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:54990       eze03s15-in-f2.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:58448       gru06s59-in-f13.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:55366       199.232.113.108:https   ESTABELECIDA
    
tcp        1     32 felipe-acer:43398       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https FECHANDO   
    
tcp        0      0 felipe-acer:51136       65.8.208.126:https      ESTABELECIDA
    
tcp        0      0 felipe-acer:46742       gru06s26-in-f2.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:35304       gru14s13-in-f3.1e100.net:http ESTABELECIDA
    
tcp        0      0 felipe-acer:51082       49.69.95.34.bc.googleusercontent.com:https ESTABELECIDA
    
tcp        0      0 felipe-acer:40432       gru06s34-in-f2.1e100.net:https ESTABELECIDA
    
tcp        1     32 felipe-acer:43390       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:38458       eze03s36-in-f1.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:35302       gru14s13-in-f3.1e100.net:http ESTABELECIDA
    
tcp        0     64 felipe-acer:37632       ip186.ip-51-222-39.net:https ÚLTIMO_ACK
    
tcp        1     32 felipe-acer:43382       584.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ÚLTIMO_ACK
    
tcp        0      0 felipe-acer:36310       gru14s07-in-f4.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:50384       639.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:36310       gru14s07-in-f4.1e100.net:https ESTABELECIDA
    
tcp        0      0 felipe-acer:50384       639.bm-nginx-loadbalancer.mgmt.nym2.adnexus.net:https ESTABELECIDA
    
udp        0      0 felipe-acer:58370       b5d58403.virtua.com.br:domain ESTABELECIDA
    
udp        0      0 localhost:48589         localhost:domain        ESTABELECIDA
    
udp        0      0 localhost:57124         localhost:domain        ESTABELECIDA
    
udp        0      0 felipe-acer:bootpc      _gateway:bootps         ESTABELECIDA
    
udp        0      0 localhost:32902         localhost:domain        ESTABELECIDA
    
Domain sockets UNIX ativos (sem os servidores)


    Boa tarde Felipe.
    Não há motivo para preocupação.
    Trata-se da atribuição do endereço IP.
    Pode ser usado o servidor DHCP ou o servidor BOOTP.
    https://pt.wikipedia.org/wiki/BOOTP


    ______________________________________________________________________
    Importante: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p'
    Att.: Marcelo Oliver
    ______________________________________________________________________
    Nota de esclarecimento:
    O comando: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p',
    faz parte da minha assinatura.
    O qual, "filtra" a página: "https://www.vivaolinux.com.br/termos-de-uso/",
    Mostrando o seguinte:

    Se você sanou sua dúvida ou resolveu um problema a partir de um
    tópico criado, é extremamente recomendável que acesse o tópico e
    marque-o como "RESOLVIDO". E mais recomendável ainda que você eleja
    como melhor resposta a que mais lhe ajudou.

    ______________________________________________________________________


    0 0
  • Quote

    • 3. Conexão estranha sempre presente no comando netstat

    Felipe Trevisan Amaro
    FelipeAmaro
    (usa Outra)

    Enviado em 23/04/2021 - 09:21h

    Agradeço a resposta, Marcelo. Porém, um comando como "sudo tcpdump -n -tttt port 67 and 68" deveria capturar os pacotes para cada nova requisição de endereços, correto? No entanto isso não ocorre. O comando está errado? Agradeço a ajuda.



    0 0
  • Quote

    • 4. Re: Conexão estranha sempre presente no comando netstat

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 23/04/2021 - 19:45h


    FelipeAmaro escreveu:

    Agradeço a resposta, Marcelo.
    Porém, um comando como "sudo tcpdump -n -tttt port 67 and 68" deveria capturar os pacotes para cada nova requisição de endereços, correto?
    No entanto isso não ocorre. O comando está errado? Agradeço a ajuda.

    Boa noite FelipeAmaro.
    Somente "pega" esses pacotes, no momento da atribuição do IP...
    Fiz o seguinte teste:
    Desconectado da rede,
    Iniciei o tcpdump, sem parametros.
    sudo tcpdump
    Agora inicio a conexão.
    E o tcdump mostra a negociação do IP
    19:41:48.415570 IP 10.0.0.1 > 224.0.0.1: igmp query v2
    19:42:04.210531 IP6 :: > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
    19:42:04.266864 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 20:89:84:00:6e:11 (oui Unknown), length 300
    19:42:04.270028 IP 10.0.0.1.bootps > 10.0.0.2.bootpc: BOOTP/DHCP, Reply, length 300
    19:42:04.580939 ARP, Request who-has 10.0.0.1 tell 10.0.0.2, length 28
    19:42:04.581888 ARP, Reply 10.0.0.1 is-at 00:18:39:60:f7:af (oui Unknown), length 46
    19:42:04.581917 IP 10.0.0.2.39551 > 200.204.0.10.domain: 4210+ A? mtalk.google.com. (34)

    É isso....
    Faça um teste....

    ______________________________________________________________________
    Importante: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p'
    Att.: Marcelo Oliver
    ______________________________________________________________________
    Nota de esclarecimento:
    O comando: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p',
    faz parte da minha assinatura.
    O qual, "filtra" a página: "https://www.vivaolinux.com.br/termos-de-uso/",
    Mostrando o seguinte:

    Se você sanou sua dúvida ou resolveu um problema a partir de um
    tópico criado, é extremamente recomendável que acesse o tópico e
    marque-o como "RESOLVIDO". E mais recomendável ainda que você eleja
    como melhor resposta a que mais lhe ajudou.

    ______________________________________________________________________


    0 0
  • Quote

    • 5. Conexão estranha sempre presente no comando netstat

    Felipe Trevisan Amaro
    FelipeAmaro
    (usa Outra)

    Enviado em 24/04/2021 - 10:20h

    Olá. Fiz o teste e as requisições de domínio são feitas na porta domain. No teste com tcpdump -n aparece o número da porta como 53 (DNS). Por que então o linux mantém uma conexão sempre ativa nas portas 68 e 67 (bootpc e bootps)? O recebimento de mensagens não deveria estar restrito à porta 68 no micro? Ainda, esta conexão bootpc/bootps não deveria sumir caso não houvesse tráfego? O que observo é que ela está sempre como ESTABLISHED.

    10:04:47.731373 IP felipe-acer.53296 > gru10s01-in-f142.1e100.net.https: Flags [.], ack 28794, win 546, options [nop,nop,TS val 1737924608 ecr 1590018718], length 0
    
10:04:47.747665 IP felipe-acer.55489 > b5d58403.virtua.com.br.domain: 35181+ [1au] A? news.google.com. (44)
    
10:04:47.747808 IP felipe-acer.40634 > b5d58403.virtua.com.br.domain: 13731+ [1au] AAAA? news.google.com. (44)
    
10:04:47.761577 IP felipe-acer.45217 > b5d58403.virtua.com.br.domain: 62805+ [1au] A? play.google.com. (44)
    
10:04:47.761713 IP felipe-acer.34550 > b5d58403.virtua.com.br.domain: 61631+ [1au] AAAA? play.google.com. (44)
    
10:04:47.764129 IP b5d58403.virtua.com.br.domain > felipe-acer.55489: 35181 1/0/1 A 172.217.162.206 (60)
    
10:04:47.764720 IP b5d58403.virtua.com.br.domain > felipe-acer.40634: 13731 1/0/1 AAAA 2800:3f0:4001:81c::200e (72)
    
10:04:47.780108 IP b5d58403.virtua.com.br.domain > felipe-acer.34550: 61631 1/0/1 AAAA 2800:3f0:4001:803::200e (72)
    
10:04:47.780540 IP b5d58403.virtua.com.br.domain > felipe-acer.45217: 62805 1/0/1 A 142.250.218.14 (60)
    
10:04:47.798490 IP felipe-acer.53296 > gru10s01-in-f142.1e100.net.https: Flags [P.], seq 1110:1284, ack 28794, win 546, options [nop,nop,TS val 1737924675 ecr 1590018718], length 174


    0 0
  • Quote

    • 6. Re: Conexão estranha sempre presente no comando netstat

    leandro peçanha scardua
    leandropscardua
    (usa Ubuntu)

    Enviado em 24/04/2021 - 11:12h


    Comandos q podem ajudar a diagosticar
    netstat -ulanp
    lsof -i ou lsof -i -n

    0 0
  • Quote

    • 7. Re: Conexão estranha sempre presente no comando netstat

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 24/04/2021 - 23:46h


    [quote]FelipeAmaro escreveu:

    Olá. Fiz o teste e as requisições de domínio são feitas na porta domain.
    No teste com tcpdump -n aparece o número da porta como 53 (DNS).
    Por que então o linux mantém uma conexão sempre ativa nas portas 68 e 67 (bootpc e bootps)? O recebimento de mensagens não deveria estar restrito à porta 68 no micro?
    Ainda, esta conexão bootpc/bootps não deveria sumir caso não houvesse tráfego? O que observo é que ela está sempre como ESTABLISHED.

    [code]10:04:47.731373 IP felipe-acer.53296 > gru10s01-in-f142.1e100.net.https: Flags [.], ack 28794, win 546, options [nop,nop,TS val 1737924608 ecr 1590018718], length 0
    10:04:47.747665 IP felipe-acer.55489 > b5d58403.virtua.com.br.domain: 35181+ [1au] A? news.google.com. (44)
    10:04:47.747808 IP felipe-acer.40634 > b5d58403.virtua.com.br.domain: 13731+ [1au] AAAA? news.google.com. (44)
    10:04:47.761577 IP felipe-acer.45217 > b5d58403.virtua.com.br.domain: 62805+ [1au] A? play.google.com. (44)
    10:04:47.761713 IP felipe-acer.34550 > b5d58403.virtua.com.br.domain: 61631+ [1au] AAAA? play.google.com. (44)
    10:04:47.764129 IP b5d58403.virtua.com.br.domain > felipe-acer.55489: 35181 1/0/1 A 172.217.162.206 (60)
    10:04:47.764720 IP b5d58403.virtua.com.br.domain > felipe-acer.40634: 13731 1/0/1 AAAA 2800:3f0:4001:81c::200e (72)
    10:04:47.780108 IP b5d58403.virtua.com.br.domain > felipe-acer.34550: 61631 1/0/1 AAAA 2800:3f0:4001:803::200e (72)
    10:04:47.780540 IP b5d58403.virtua.com.br.domain > felipe-acer.45217: 62805 1/0/1 A 142.250.218.14 (60)
    10:04:47.798490 IP felipe-acer.53296 > gru10s01-in-f142.1e100.net.https: Flags [P.], seq 1110:1284, ack 28794, win 546, options [nop,nop,TS val 1737924675 ecr 1590018718], length 174
    Fiz o teste e as requisições de domínio são feitas na porta domain. No teste com tcpdump -n aparece o número da porta como 53 (DNS).
    É o correto, DNS na porta 53

    Por que então o linux mantém uma conexão sempre ativa nas portas 68 e 67 (bootpc e bootps)?
    Verifique o Lease Time, no DHCP server

    Ainda, esta conexão bootpc/bootps não deveria sumir caso não houvesse tráfego?
    Não está relacionada ao tráfego.....

    ______________________________________________________________________
    Importante: lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p'
    Att.: Marcelo Oliver



    0 0
  • Quote

    • 8. Conexão estranha sempre presente no comando netstat

    Felipe Trevisan Amaro
    FelipeAmaro
    (usa Outra)

    Enviado em 25/04/2021 - 13:48h


    Boa tarde, agradeço as respostas. Aparentemente a conexão bootpc/bootps com o gateway é criada pelo NetworkManager. O que é estranho é que mesmo colocando as policies do iptables para DROP, a conexão permanece ativa. E aparentemente não há tráfego de rede nela. Qual o sentido dessa conexão?

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Senha de ADM no Tiger OS (2)

    Linux Mint não inicializa (1)

    phpmyadmin não abre no xampp (0)

    Firewall iptables - Rotear Interface Cliente (6)

    Trocando modo IDE por AHCI (3)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: