Я не вижу IPv6-адресов здесь. Что у вас есть в вашем вопросе:
210.77.27.236:473885-70.39.110.14:80
Это ясно показывает, что IP-адрес клиента - 210.77.27.236, а порт источника - причудливый, потому что он недопустим. (только должен идти до 65K).
Адрес сервера - 70.39.110.14, а порт назначения - 80 (www).
Не ясно, является ли ваш компьютер сервером или клиентом в этом случае, но если вы чувствуете, что это является причиной увеличения использования пропускной способности, вы можете использовать прокси-сервер или иметь мошенническую программу, подключающуюся к удаленному серверу, для которого известно с какой целью.
ОБНОВИТЬ:
Поскольку nethogs не помогает вам сузить причину, я предлагаю использовать netstat для просмотра всех действий tcp и udp.
Попробуйте следующую команду:
# netstat -atpn
a = is to display all
t = is to display TCP (you should also try with u to display UDP)
p = to display process name for established and listening connections
n = to prevent name resolution since that slows output down.
# netstat -atpn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 20519/httpd
tcp 0 0 0.0.0.0:19025 0.0.0.0:* LISTEN 15810/sendmail
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1668/sshd
tcp 0 0 23.23.16.41:80 19.15.63.42:60172 TIME_WAIT -
tcp 0 0 23.23.16.41:22 172.218.220.79:58498 ESTABLISHED 30607/sshd
Выходные данные сообщат вам, какие службы прослушивают соединения (вы должны отключить те, которые вам не нужны), установленные сеансы, недавно закрытые сеансы ... и т.д. Я подозреваю, что вы увидите много с портом 80 или портом 25, что означает, что ваш компьютер стал прокси-сервером или спам-релеем. Если вы это сделаете, отключите демоны httpd и email, пока не заблокируете их.
