У меня есть домашний сервер Plex, который запускает различные части программного обеспечения и выполняет различные роли. На нем установлена последняя версия Ubuntu со всеми последними пакетами / обновлениями. Примерно каждые 10 дней или около того, пакет начинает штурмовать публичный IP-адрес и получать шторм обратно. Это полностью убивает весь другой сетевой трафик.
Сначала я попробовал просто проверить пользователей с общей пропускной способностью, но ничего, что у меня есть, не оценено / не ограничено в этом поле.
Затем я попробовал iftop и другие различные программы (это заняло у меня несколько раз, поскольку я не могу использовать каналы во ВСЕХ, когда это происходит), чтобы посмотреть, смогу ли я отследить процесс отправки трафика. iftop видит трафик, но даже netstat не выводит идентификатор процесса. Затем я подумал, что это может быть трафик NFS, после прочтения нескольких статей о том, что NFS - это уровень ядра без традиционного идентификатора процесса (я надеюсь, что это правильный язык), но безрезультатно.
Наконец я просто включил зеркальное отображение переключателя netgear и перехватил трафик с другого компьютера. И вот, это мусорный трафик. TCP Dup ACK полностью отключен. Вот небольшой сегмент 8 МБ (около 100 000 пакетов за 4 секунды). Я захватил больший файл за 1 минуту, но все практически одинаково.
Есть идеи, как отследить этого плохого парня и / или остановить его? Небольшой снимок здесь: http://s000.tinyupload.com/index.php?file_id=45384481152498730142, и я могу использовать другой сервис, если вы порекомендуете его.
Для тех, у кого нет Wireshark, удаленное TCP-соединение - 46.105.201.50:80. Локальный порт меняется, но всегда находится в блоке 60 000 - 70 000.
Спасибо за помощь!