私の archlinux システムの Gnome システム モニターは、実行中のアプリケーションがない場合でも、受信で約 1 ~ 2 KiB/s のネットワーク使用量が一定で、送信では非常に少ない使用量が報告されます。私の iptables 設定では、リスニングは許可されておらず、ローカル プロセスによって確立された接続のみが許可されています。ネットワークを使用するデーモンは有効にしていません。nethogs を使用して、どのプロセスがネットワークを使用しているかを調べようとしました。次のようなレポートが表示されます。
? root (my static ip address):41764-61.134.84.44:24630 0.000 0.023 KB/sec
? root (my static ip address):2323-184.105.247.226:37393 0.000 0.018 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
リモート アドレスは時々変更されます。この種のネットワーク使用は、gdm を無効にして xorg または gnome セッションが実行されていない場合にも発生します。何がネットワーク使用の原因になるのかわかりません。何か考えはありますか?
答え1
アンnslookup最初のアドレスは中国のシステムであることを示しています。
$ nslookup 61.134.84.44 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
44.84.134.61.in-addr.arpa name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.
Authoritative answers can be found from:
$
末尾の「cn」は完全修飾ドメイン名 (FQDN)それは中国の国コード。 そしてそのアジア太平洋ネットワーク情報センター (APNIC)、地域インターネットレジストリ (RIR)アジアの場合、IPアドレスが表示されます61.134.84.44中国の「Tsqcインターネットクラブ」に割り当てられたアドレス範囲内にあります。
もう一方のアドレス184.105.247.226に対するnslookupでは、そのアドレスに関連付けられたFQDNが であることが示されていますscan-13h.shadowserver.org。シャドウサーバー財団「マルウェア、ボットネット活動、コンピュータ詐欺に関する情報を収集、追跡、報告するプロのインターネットセキュリティワーカーのボランティアグループです。侵害されたサーバー、悪意のある攻撃者、マルウェアの拡散の存在に対する認識を高めることで、インターネットのセキュリティを向上させることを目的としています。」ホームページ同組織は次のように述べている。
2004 年に設立された Shadowserver Foundation は、インターネットのダークサイドに関する情報収集を行っています。私たちは、世界中のボランティアのセキュリティ専門家で構成されています。私たちの使命は、情報化時代の危険なサイバー犯罪を理解し、阻止することです。
お使いのシステムとShadowServerシステム間のネットワーク通信が見られる理由については、組織のオープンポートマッパースキャンプロジェクトページ。
中国の別のIPアドレスは、そのシステムがあなたのシステムに接続しようとした可能性があります。インターネットストームセンターのプログラムであるSANSテクノロジー研究所インターネット上の悪質な活動のレベルを監視する機関は、61.134.84.44 アドレスからの最近のスキャン活動。
インターネットに接続している場合は、世界中のシステムから頻繁に接続が試みられることを想定してください。これは、世界中の人々がインターネットをスキャンして、悪用できる脆弱性のあるシステムを探しているためです。接続が試みられたからといって、必ずしもシステムが脆弱であるわけではなく、誰かが IP アドレスの脆弱性を調査しているだけです。
使用できるtcpダンプまたはワイヤーシャークデータフローをキャプチャして分析することで、何が起こっているのかをより正確に把握できます。つまり、誰かが単にシステムをスキャンして脆弱性を探しているのか、それとも誰かがシステムを侵害しているのかを把握できます。これらのツールを効果的に使用できるようになるには、慣れていない場合は、かなりの時間がかかる可能性があります。インターネットネットワークプロトコルただし、ネットワークの問題のトラブルシューティングやネットワーク トラフィックの分析には非常に役立ちます。
アップデート:
あなたが投稿した出力ネットホッグスのみを示したネットワークポート他のシステム、つまり24630中国のシステムと37393Shadowserverシステムについては、システム上の対応するポートは表示されませんが、システム上の特定のポートでどのプロセスがリッスンしているかを知りたい場合は、lsofコマンド。例えば、どのプロセスが標準HTTPポートでリッスンしているかを知りたい場合は、よく知られているポート80の場合、コマンドlsof -i TCP:80(TCPHTTPのプロトコルですが、他のネットワークプロトコルではUDPI)または、ネットスタットコマンドnetstat -nlp | grep :80。コマンドはルートアカウントから発行します。つまり、ルートとしてログインしてコマンドを発行するか、sudo使用しているLinuxのディストリビューションに応じてコマンドの前に置きます。特定のポートを使用してプロセスの PID を見つけますか?にUnix と Linux他の方法と出力例については、このサイトの姉妹サイトをご覧ください。