4

Иногда (возможно, примерно раз в день) у меня появляется довольно большой объем входящего сетевого трафика, около 2,5 Мбит / с в течение 15 минут без видимой причины. Нет P2P, ничего не запущено, кроме браузера и электронной почты, и я даже пытался остановить их без изменений.

Мой компьютер - персональный Mac OS X 10.10.4 (Yosemite), обновленный с Mac OS X 10.9.6 (Mavericks), и я единственный владелец. У меня есть скрипт, который rsync данные в моей локальной сети каждый час, но это явно не так. У меня также установлено приложение Synology, но оно закрыто и не отображается в ps aux или top .

Я исследовал с помощью iftop, так что я могу видеть, откуда он приходит:

скриншот iftop

Когда я переключаю отображение порта в числовое значение, FMTP - это 8500, это соответствует протоколу полетного сообщения.

Затем я попытался пинговать IP-адреса:

Buzut:~ Buzut$ ping 89.86.97.2
PING 89.86.97.2 (89.86.97.2): 56 data bytes
36 bytes from vl212.c6k04-t2.net.bbox.fr (62.34.0.182): Communication prohibited by filter
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 abc7   0 0000  38  01 5abc 192.168.1.37  89.86.97.2 

Request timeout for icmp_seq 0
36 bytes from vl212.c6k04-t2.net.bbox.fr (62.34.0.182): Communication prohibited by filter
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 ae78   0 0000  38  01 580b 192.168.1.37  89.86.97.2 


--- 89.86.97.2 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

Buzut:~ Buzut$ ping 239.0.5.49
PING 239.0.5.49 (239.0.5.49): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
--- 239.0.5.49 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

Что странно, так это то, что я 192.160.1.37 в своей сети, но здесь он загружает данные с 89.86.97.2 до 239.0.5.49 как если бы он просто прошел через мой компьютер без назначения.

bbox.fr как-то связан с моим провайдером, потому что это Bouygues Telecom. Но, судя по всему, мне все еще кажется подозрительным. Как я могу узнать больше? Что загружается? С какой целью?

В то же время я не вижу этого с netstat. Версия netstat в Mac OS X не работает так же, как в других системах, насколько это возможно. Так что вот так:

Buzut$ netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)    
tcp4       0      0  192.168.1.37.50924     stackoverflow.co.https ESTABLISHED
tcp4       0      0  192.168.1.37.50922     190.93.245.58.http     ESTABLISHED
tcp4       0      0  192.168.1.37.50918     ec2-23-21-110-17.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50917     ec2-23-21-110-17.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50912     104.16.12.8.http       ESTABLISHED
tcp4       0      0  192.168.1.37.50799     a23-200-86-198.d.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50797     mrs04s09-in-f206.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50585     ip-228.net-89-3-.6690  ESTABLISHED
tcp4       0      0  localhost.cap          *.*                    LISTEN     
tcp4       0      0  localhost.1024         *.*                    LISTEN     
tcp4       0      0  localhost.blackjack    *.*                    LISTEN     
tcp4       0      0  192.168.1.37.49468     stackoverflow.co.https ESTABLISHED
tcp46      0      0  *.53673                *.*                    LISTEN     
tcp4       0      0  *.53673                *.*                    LISTEN     
tcp4       0      0  192.168.1.37.49445     17.110.227.99.5223     ESTABLISHED
tcp4       0      0  localhost.27017        localhost.64807        ESTABLISHED
tcp4       0      0  localhost.64807        localhost.27017        ESTABLISHED
tcp4       0      0  *.27017                *.*                    LISTEN     
tcp4       0      0  192.168.1.37.64286     192.230.65.4.ip..https ESTABLISHED
tcp4     143      0  192.168.1.37.58235     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4     143      0  192.168.1.37.58232     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4     143      0  192.168.1.37.58230     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4       0      0  192.168.1.37.56996     17.172.239.102.5223    ESTABLISHED
tcp4       0      0  localhost.intu-ec-clie *.*                    LISTEN     
tcp6       0      0  localhost.intu-ec-     *.*                    LISTEN     
tcp4     143      0  192.168.1.37.62687     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4       0      0  localhost.ipp          *.*                    LISTEN     
tcp6       0      0  localhost.ipp          *.*                    LISTEN     
udp4       0      0  *.53878                *.*                               
udp4       0      0  *.62654                *.*                               
udp4       0      0  *.*                    *.*                               
udp46      0      0  *.53673                *.*                               
udp4       0      0  *.53673                *.*                               
udp4       0      0  *.54480                *.*                               
udp4       0      0  192.168.1.37.ntp       *.*                               
udp6       0      0  buzut.ntp              *.*                               
udp6       0      0  *.62268                *.*                               
udp4       0      0  *.62268                *.*                               
udp6       0      0  *.53100                *.*                               
udp4       0      0  *.53100                *.*                               
udp6       0      0  *.63111                *.*                               
udp4       0      0  *.63111                *.*                               
udp6       0      0  *.53310                *.*                               
udp4       0      0  *.53310                *.*                               
udp6       0      0  *.65513                *.*                               
udp4       0      0  *.65513                *.*                               
udp6       0      0  *.62913                *.*                               
udp4       0      0  *.62913                *.*                               
udp46      0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.54514                *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp6       0      0  localhost.ntp          *.*                               
udp4       0      0  localhost.ntp          *.*                               
udp6       0      0  localhost.ntp          *.*                               
udp6       0      0  *.ntp                  *.*                               
udp4       0      0  *.ntp                  *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp46      0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp6       0      0  *.mdns                 *.*                               
udp4       0      0  *.mdns                 *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.netbios-ns           *.*                               
udp4       0      0  *.netbios-dgm          *.*
|источник

1 ответ1

2

Итак, вот моя экспертиза о том, что вы представляете:

Основы

239.0.5.49 - это адрес многоадресной рассылки в диапазоне административной (локальной) многоадресной рассылки от 239.0.0.0 до 239.255.255.255 .

Поскольку 89.86.97.2 разрешается в Bouygues Telecom, я думаю, что это адрес вашего внешнего /WAN-интерфейса или, возможно, маршрутизатор в сети Bouygues Telecom.

И что касается различий между результатами iftop и netstat , этот ответ о сбое сервера резюмирует его кратко: iftop использует pcap (захват пакетов) для показа / захвата всех пакетов в сети, в то время как netstat строго показывает сокеты открытых машин в сети ,

Итак, мое обоснованное предположение заключается в том, что вы можете не знать о том, что процесс активно запущен, что-то в вашей сети - и, возможно, даже ваше устройство подключения к Интернет-провайдеру; модем или маршрутизатор - вещает наружу в сеть 89.86.97.2 . А многоадресная передача в основном означает следующее: просто выбросьте пакеты в сеть.

Подробнее / Теории

Да, порт 8502 преобразуется в «Протокол передачи сообщений FTN» на некоторых сайтах расшифровки портов, но порт приема 49152 находится в диапазоне динамического / частного порта. Моя интуиция говорит мне, что порт 8502 может использоваться для чего-то другого в этом случае, потому что, например, программное обеспечение, такое как CommCell / CommVault, также использует порт 8502 .

Что касается того, что время от времени будет составлять 2,5 МБ трафика? Понятия не имею. Но, следуя идее CommCell и читая документацию по программному обеспечению, вы обнаруживаете:

Программное обеспечение предоставляет мощный набор инструментов управления хранением, которые помогут вам перемещать и управлять критически важными данными. Эти инструменты позволяют хранить и извлекать данные, связанные с компьютерными системами на вашем предприятии.

Итак, зная обо всем этом, вы говорите, что используете Mac OS XI, но неясно, какая у вас машина или откуда она изначально появилась. Был ли это когда-нибудь компьютер, являющийся частью среды Enterprise (aka: workplace), в которой данные об использовании компьютера должны регулярно отправляться администратору? Потому что то, что вы говорите об этом пакете 2,5 МБ данных, время от времени, кажется, хорошо сочетается с некоторым процессом фонового / демонического мониторинга системы, который пытается «связаться» с центральным сетевым сервером для отправки данных.

Это означает, что я полагаю, что некоторый связанный с CommCell процесс - возможно, iDataAgent, установленный в клиентской системе, как описано здесь, - пытается передать данные ЭКГ системы вашей машины большему миру; он думает, что это центральный консольный сервер CommCell. Но он терпит неудачу, поскольку вы не находитесь в корпоративной среде или эта машина неправильно настроена. Таким образом, 2,5 МБ данных просто сбрасываются в эфир, и «назначение» вашего внешнего IP-адреса 89.86.97.2 (Bouygues Telecom) - лучшее, что он может сделать.

добавление

Все это говорит в комментарии к этому ответу: «… но 2,5 МБ данных поступают, а не исходят…». Да, технически это поступает ; трафик поступает с адреса 89.86.97.2 (адрес Bouygues Telecom) и, по-видимому, идет на 239.0.5.49 (адрес многоадресной рассылки в вашей системе). Так что может показаться, что что-то в сети Bouygues Telecom транслирует эти 2,5 МБ данных на все многоадресные соединения; в том числе и твой. Вот что такое многоадресная рассылка.

То есть я не верю, что все это происходит из-за процесса на вашем компьютере Mac OS X, а iftop просто собирает все пакеты, которые он получает, и сообщает вам, что он видит.

Вы должны быть обеспокоены тем, что казалось бы случайный пакет данных размером 2,5 МБ направляется к вашему сетевому соединению Bouygues Telecom? Я немного не уверен в этом, но если это касается вас, я бы порекомендовал обратиться в службу технической поддержки Bouygues Telecom и спросить: «Есть ли причина, по которой 2,5 МБ многоадресного трафика отправляется в сеть моего компьютера каждые 15 минут или около того? » Конечно, шансы на то, что вы получите прямой / реальный ответ на этот вопрос, в лучшем случае невелики, но, честно говоря, это не будет плохим первым шагом, если вам действительно интересно это.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .