检测自己计算机执行的端口扫描

对于您，我还有另一种方法，因为我过去面对同样的情况。

1. 请勿使用IPTABLES阻止任何内容！
2. 停止任何可以与受害者通信的应用程序或进程（例如，连接到受害者IP地址的浏览器）。

3. 找出您的PC与受害人的PC之间正在发生什么通信

   tcpdump -nn host your_victim_ip
   

   您的输出应类似于以下内容

   08:36:19.738610 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 18825, win 523, options [nop,nop,TS val 15987331 ecr 427321428], length 0
   08:36:19.738625 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [.], seq 18825:20273, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1448: HTTP
   08:36:19.738635 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 20273, win 545, options [nop,nop,TS val 15987331 ecr 427321428], length 0
   08:36:19.738643 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [FP.], seq 20273:21546, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1273: HTTP
   

   从上面的输出中，端口的粗体为192.168.89.xxx。46582 > 89.35.224.xxx。80

4. 找出与该端口一起使用的端口 lsof

   lsof -i:80
   

   用tcpdump输出中建立的端口更改“：80” ；-n用于禁止将IP解析为名称，-P用于禁止将端口转换为名称；它应该告诉您使用端口80的进程。

   COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
   firefox 30989 mihai   61u  IPv4 496649      0t0  TCP 192.168.89.xxx:40890->89.35.224.xxx:80 (ESTABLISHED)
   

   在我的示例中可以看到，COMMANDfirefox在IP 89.35.224.xxx建立的通信中使用端口80

5. 如果该命令看起来很奇怪，请从运行ls -l /proc/$PID/exe位置验证$ PID是在前面使用lsof命令创建的进程ID。应该有类似的输出：

   lrwxrwxrwx 1 mihai mihai 0 Jan 16 22:37 /proc/30989/exe -> /usr/lib/firefox/firefox
   

6. 另外，您可以lsof -i:port使用以下命令检查上面列出的命令的更多详细信息lsof -c command_name

   那是最重要的部分，因此请记住，几乎所有内容都将与它显示的“运行命令”相关，例如它使用的文件，其他连接等等。

7. 杀死进程 sudo kill -9 $PID

8. 如果不是通用的进程名称（如firefox），最好将文件备份到另一个位置并删除它，尽管如果它是通用的，则可以考虑重新安装该应用程序。

另一种方法是在步骤4更改命令使用。使用此命令lsof -i@*victim_ip_address*可以查看与受害者的IP地址具有有效连接的所有过程和命令。

重要说明：以root身份运行所有命令或使用sudo。

如果您tcpdump既未lsof安装也未安装，则可以通过以下方式安装它们：sudo apt install lsof tcpdump

在这一点上，我认为您已经具备了使用IPTABLES和阻止传出流量（如果仍然需要）所需的所有信息。

不要忘记tcpdump再次使用以查看问题是否已经解决。