1

Я установил fedora 20 на свой ноутбук и столкнулся с проблемой, что трафик данных, особенно отправляющая часть, сильно увеличился (> 10 МБ / с) при соединении сетей с IPv6.

Я попытался использовать nethogs чтобы найти подозрительные процессы, и получил такую таблицу:

PID  USER  PROGRAM              DEV  SENT   RECEIVED
?    root  *.*.*.*:*-*.*.*.*:*       0.186  0.000 KB/sec
?    root  *.*.*.*:*-*.*.*.*:*       0.186  0.000 KB/sec
?    root  *.*.*.*:*-*.*.*.*:*       0.186  0.000 KB/sec
......
...

Формат PROGRAM подобен двум IP-адресам, соединенным дефисом, например, 210.77.27.236:473885-70.39.110.14:80.

Как я должен сделать, чтобы справиться с этим?

1 ответ1

1

Я не вижу IPv6-адресов здесь. Что у вас есть в вашем вопросе:

210.77.27.236:473885-70.39.110.14:80

Это ясно показывает, что IP-адрес клиента - 210.77.27.236, а порт источника - причудливый, потому что он недопустим. (только должен идти до 65K).

Адрес сервера - 70.39.110.14, а порт назначения - 80 (www).

Не ясно, является ли ваш компьютер сервером или клиентом в этом случае, но если вы чувствуете, что это является причиной увеличения использования пропускной способности, вы можете использовать прокси-сервер или иметь мошенническую программу, подключающуюся к удаленному серверу, для которого известно с какой целью.

ОБНОВИТЬ:

Поскольку nethogs не помогает вам сузить причину, я предлагаю использовать netstat для просмотра всех действий tcp и udp.

Попробуйте следующую команду:

 # netstat -atpn

a = is to display all
t = is to display TCP (you should also try with u to display UDP)
p = to display process name for established and listening connections
n = to prevent name resolution since that slows output down.



# netstat -atpn 
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name       
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      20519/httpd         
tcp        0      0 0.0.0.0:19025               0.0.0.0:*                   LISTEN      15810/sendmail              
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1668/sshd                                       
tcp        0      0 23.23.16.41:80              19.15.63.42:60172           TIME_WAIT   -                                      
tcp        0      0 23.23.16.41:22              172.218.220.79:58498        ESTABLISHED 30607/sshd           

Выходные данные сообщат вам, какие службы прослушивают соединения (вы должны отключить те, которые вам не нужны), установленные сеансы, недавно закрытые сеансы ... и т.д. Я подозреваю, что вы увидите много с портом 80 или портом 25, что означает, что ваш компьютер стал прокси-сервером или спам-релеем. Если вы это сделаете, отключите демоны httpd и email, пока не заблокируете их.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .