Вот небольшой пример из моего журнала брандмауэра:

Sep 24 14:51:04 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=213.5.110.105 DST=10.1.1.3 LEN=131 TOS=00 PREC=0x00 TTL=107 ID=32225 PROTO=UDP SPT=17667 DPT=1024 LEN=111 
Sep 24 14:51:05 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=67.183.116.234 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=108 ID=12282 PROTO=UDP SPT=49001 DPT=1024 LEN=38 
Sep 24 14:51:06 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=121.215.144.93 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=114 ID=13981 PROTO=UDP SPT=47838 DPT=1024 LEN=38 
Sep 24 14:51:07 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=186.78.12.237 DST=10.1.1.3 LEN=131 TOS=00 PREC=0x00 TTL=103 ID=21921 PROTO=UDP SPT=43598 DPT=1024 LEN=111 
Sep 24 14:51:08 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=70.79.87.231 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=49 ID=49669 CE PROTO=UDP SPT=61409 DPT=1024 LEN=38 
Sep 24 14:51:08 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=67.183.116.234 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=109 ID=12863 PROTO=UDP SPT=49001 DPT=1024 LEN=38 
Sep 24 14:51:08 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=68.82.79.108 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=106 ID=2122 PROTO=UDP SPT=60001 DPT=1024 LEN=38 
Sep 24 14:51:09 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=75.176.7.91 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=104 ID=30826 PROTO=UDP SPT=14846 DPT=1024 LEN=28 
Sep 24 14:51:10 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=178.150.113.244 DST=10.1.1.3 LEN=131 TOS=00 PREC=0x00 TTL=101 ID=183 PROTO=UDP SPT=35691 DPT=1024 LEN=111 
Sep 24 14:51:11 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=68.82.79.108 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=106 ID=2678 PROTO=UDP SPT=60001 DPT=1024 LEN=38 
Sep 24 14:51:12 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=37.112.250.231 DST=10.1.1.3 LEN=129 TOS=00 PREC=0x00 TTL=109 ID=10057 PROTO=UDP SPT=43146 DPT=1024 LEN=109 
Sep 24 14:51:12 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=70.79.87.231 DST=10.1.1.3 LEN=58 TOS=00 PREC=0x00 TTL=49 ID=38728 CE PROTO=UDP SPT=61409 DPT=1024 LEN=38 
Sep 24 14:51:12 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=68.82.79.108 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=106 ID=2838 PROTO=UDP SPT=60001 DPT=1024 LEN=28 
Sep 24 14:51:13 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=76.109.233.94 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=107 ID=21250 PROTO=UDP SPT=25677 DPT=1024 LEN=28 
Sep 24 14:51:15 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=68.82.79.108 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=106 ID=3251 PROTO=UDP SPT=60001 DPT=1024 LEN=28 
Sep 24 14:51:15 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=76.109.233.94 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=108 ID=22226 PROTO=UDP SPT=25677 DPT=1024 LEN=28 
Sep 24 14:51:16 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=76.109.233.94 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=108 ID=22354 PROTO=UDP SPT=25677 DPT=1024 LEN=28 
Sep 24 14:51:16 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=76.109.233.94 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=108 ID=22411 PROTO=UDP SPT=25677 DPT=1024 LEN=28 
Sep 24 14:51:18 server Shorewall:net2fw:DROP: IN=eth0 OUT= MAC=44:87:fc:8a:f2:c3:00:04:ed:dd:e6:4a:08:00  SRC=76.177.141.11 DST=10.1.1.3 LEN=48 TOS=00 PREC=0x00 TTL=107 ID=32007 PROTO=UDP SPT=22352 DPT=1024 LEN=28 

Поиск не принес ничего полезного, за исключением того, что порт udp 1024 является зарезервированным портом, это может быть червь или он может быть связан с P2P.

У меня также работает Transmission (bittorrent клиент), загружающий и заполняющий несколько вещей - это может быть связано с этим?

Обновление 1: вывод команды sudo netstat -panu: ничего не слушается на UDP 1024

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
udp        0      0 0.0.0.0:53              0.0.0.0:*                           1058/dnsmasq    
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1058/dnsmasq    
udp        0      0 0.0.0.0:111             0.0.0.0:*                           657/rpcbind     
udp        0      0 192.168.0.255:137       0.0.0.0:*                           947/nmbd        
udp        0      0 192.168.0.1:137         0.0.0.0:*                           947/nmbd        
udp        0      0 0.0.0.0:137             0.0.0.0:*                           947/nmbd        
udp        0      0 192.168.0.255:138       0.0.0.0:*                           947/nmbd        
udp        0      0 192.168.0.1:138         0.0.0.0:*                           947/nmbd        
udp        0      0 0.0.0.0:138             0.0.0.0:*                           947/nmbd        
udp        0      0 192.168.0.1:51413       0.0.0.0:*                           1136/transmission-d
udp        0      0 0.0.0.0:60642           0.0.0.0:*                           1136/transmission-d
udp        0      0 0.0.0.0:48894           0.0.0.0:*                           1113/squid3     
udp        0      0 0.0.0.0:805             0.0.0.0:*                           657/rpcbind     

Обновление 2. Мое интернет-соединение использует динамический IP-адрес, поэтому я сбросил модем и получил новый адрес, но поток попыток соединения продолжается. Это должно быть связано с демоном torrent передачи.

Обновление 3: снова перезапустил модем, на этот раз с остановленным торрент-демоном и множественных попыток подключения не происходило. Через несколько минут я запустил демон, и через несколько секунд входящие запросы вернулись.

Для чего в торрент-протоколе используется порт udp 1024?

1 ответ1

1

Torrenting использует UDP (как видно из этой выдержки из журнала брандмауэра):

PROTO = UDP

Если вы хотите доказать, что этот трафик связан с вашим потоком, прекратите это делать. Посмотрите, исчезнет ли трафик. Включите его снова, посмотрите, поднимется ли трафик.

Torrenting использует UDP и случайные порты между 1024 и 65534

По сути, это ожидаемое поведение для того, что, как вы описали, вы делаете, я показываю вам, как это доказать себе.

Если я ошибаюсь, это тоже должно доказать.

LEN = 48 TOS = 00 PREC = 0x00 TTL = 108 ID = 22226 PROTO = UDP SPT = 25677 DPT = 1024 LEN = 28

DPT = порт назначения (1024) SPT = порт источника, вы заметите, что они различаются.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .