CentOS 7 を新しくインストールして更新しました。インストールした翌日、大量の送信トラフィックが発生していることに気付きました。これは、ホーム ネットワーク全体の速度を低下させ、Netgear n450 ルーターをクラッシュさせるほどでした。
iftop が明らかにした内容:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
アステリックス の宛先ポートは奇妙に思えます。実行しましたnetstatが、その宛先に関連するものは何も見つかりませんでした。lsof -i :asterix何も表示されません。
すべてを消去して再インストールするつもりですが、好奇心からこれを詳しく調べたいと思っています。どのプロセスがこれを引き起こしているかを突き止め、それを削除する方法を誰か教えてもらえませんか?
編集: Wiresharkも実行しました:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
そして、それは延々と続きます。異なる宛先 IP に注意してください。再接続するたびに、またはそのアドレスへの送信トラフィックをドロップするようにファイアウォール ルールを設定するたびに、宛先 IP が変更されます。
答え1
この種のインシデントをより効率的に監視できるように、fail2ban、OSSEC などのツールをインストールすることをお勧めします。
そして、netstat を使用すると、ユーザー、inode などを取得できます。ポートがわかっている場合:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
答え2
試すネットホッグ通常のコマンドと似ていますtopが、プロセスごとのネットワーク使用率を表示します。