Der Gnome-Systemmonitor meines Archlinux-Systems meldet eine konstante Netzwerkauslastung von etwa 1 bis 2 KiB/s beim Empfangen und eine sehr geringe Auslastung beim Senden, selbst wenn ich keine Anwendungen laufen habe. Meine iptables-Einstellungen erlauben kein Abhören und nur Verbindungen, die von einem lokalen Prozess hergestellt werden. Ich habe keinen Daemon aktiviert, der das Netzwerk nutzt. Ich habe versucht, mithilfe von Nethogs herauszufinden, welcher Prozess das Netzwerk nutzt. Es meldet ungefähr Folgendes.
? root (my static ip address):41764-61.134.84.44:24630 0.000 0.023 KB/sec
? root (my static ip address):2323-184.105.247.226:37393 0.000 0.018 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
Die Remort-Adressen ändern sich von Zeit zu Zeit. Diese Art der Netzwerknutzung tritt auch auf, wenn ich gdm deaktiviere und daher keine Xorg- oder Gnome-Sitzung läuft. Ich habe keine Ahnung, was die Netzwerknutzung verursacht. Irgendeine Idee?
Antwort1
Einnslookupan der ersten Adresse erkennt man, dass es sich um ein System in China handelt:
$ nslookup 61.134.84.44 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
44.84.134.61.in-addr.arpa name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.
Authoritative answers can be found from:
$
Das "cn" am Ende dervollqualifizierter Domänenname (FQDN)ist derLandesvorwahl für China. Und dasInformationszentrum des Asien-Pazifik-Netzwerks (APNIC), DieRegionales Internet-Register (RIR)für Asien, zeigt die IP-Adresse61.134.84.44liegt in einem dem „Tsqc internet club“ in China zugewiesenen Adressbereich.
Ein nslookup auf der anderen Adresse, 184.105.247.226, zeigt, dass der mit dieser Adresse verknüpfte FQDN ist scan-13h.shadowserver.org. DerShadowserver-Stiftungist eine „Gruppe von Freiwilligen aus professionellen Internet-Sicherheitsmitarbeitern, die Malware, Botnet-Aktivitäten und Computerbetrug sammelt, verfolgt und darüber berichtet. Ihr Ziel ist es, die Sicherheit des Internets zu verbessern, indem sie auf die Präsenz kompromittierter Server, böswilliger Angreifer und die Verbreitung von Malware aufmerksam macht.“ DieStartseitefür die Organisation heißt es:
Die 2004 gegründete Shadowserver Foundation sammelt Informationen über die dunkle Seite des Internets. Wir bestehen aus freiwilligen Sicherheitsexperten aus der ganzen Welt. Unsere Mission ist es, die schwerwiegenden Cyberkriminalitätsfälle im Informationszeitalter zu verstehen und zu stoppen.
Informationen dazu, warum Sie möglicherweise Netzwerkübertragungen zwischen Ihrem System und dem ShadowServer-System beobachtet haben, finden Sie in derÖffnen Sie das Portmapper-ScanprojektSeite.
Die andere IP-Adresse in China könnte ein Versuch dieses Systems gewesen sein, eine Verbindung zu Ihrem System herzustellen.Internet Storm Center, ein Programm derSANS Technology Institutdas den Grad der bösartigen Aktivitäten im Internet überwacht, meldetaktuelle Scan-Aktivität von der Adresse 61.134.84.44.
Wenn Sie mit dem Internet verbunden sind, müssen Sie damit rechnen, dass Systeme aus aller Welt häufig versuchen, eine Verbindung zu Ihrem System herzustellen, da überall auf der Welt Menschen das Internet nach Systemen mit Schwachstellen durchsuchen, die sie ausnutzen können. Ein Verbindungsversuch bedeutet nicht zwangsläufig, dass Ihr System anfällig ist, sondern nur, dass jemand Ihre IP-Adresse auf Schwachstellen untersucht.
Du könntest benutzentcpdumpoderWiresharkum die Datenflüsse zu erfassen und zu analysieren, um eine bessere Vorstellung davon zu bekommen, was passiert, d. h. ob jemand einfach Ihr System nach Schwachstellen durchsucht oder ob jemand Ihr System kompromittiert hat. Das Erlernen der effektiven Verwendung dieser Tools kann eine ganze Weile dauern, wenn Sie nicht vertraut sind mitInternet-Netzwerkprotokolle, aber sie sind von unschätzbarem Wert bei der Behebung von Netzwerkproblemen und der Analyse des Netzwerkverkehrs.
Aktualisieren:
Die Ausgabe, die Sie gepostet haben,NetHogszeigte nur dieNetzwerkportsfür die anderen Systeme, also 24630für das System in China und 37393für das Shadowserver-System, aber nicht die entsprechenden Ports auf Ihrem System. Wenn Sie jedoch wissen möchten, welcher Prozess auf einem bestimmten Port Ihres Systems lauscht, können Sie denlsofBefehl. Wenn Sie beispielsweise wissen möchten, welcher Prozess auf dem Standard-HTTP-Port lauscht, alsobekannter Hafen80 können Sie den Befehl lsof -i TCP:80(TCPist das Protokoll für HTTP, während einige andere NetzwerkprotokolleUDP) oder alternativ dazu können Sie auch dienetstatBefehl netstat -nlp | grep :80. Geben Sie die Befehle vom Root-Konto aus ein, d. h. melden Sie sich entweder als Root an und geben Sie den Befehl ein oder setzen Sie sudovor den Befehl, je nachdem, welche Linux-Distribution Sie verwenden. Weitere Informationen finden Sie unterDie PID des Prozesses über einen bestimmten Port finden?auf derUnix und LinuxSchwesterseite dieser Seite für andere Methoden und Beispielausgaben.