CentOS 7을 새로 설치했습니다. 설치한 지 하루 만에 엄청난 양의 아웃바운드 트래픽이 발생하는 것을 발견했습니다. 이는 전체 홈 네트워크 속도를 늦추고 Netgear n450 라우터를 충돌시킬 만큼 충분했습니다.
iftop은 다음을 밝힙니다:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
아스테릭스의 목적지 포트가 이상해 보입니다. 달려갔지만 netstat그 목적지와 관련된 어떤 것도 보지 못했고 lsof -i :asterix아무것도 보여주지 않았습니다.
그냥 다 지우고 다시 설치하고 싶은데 호기심이 생겨서 이것저것 파헤쳐보고 싶네요. 어떤 프로세스가 이 문제를 일으키는지 알아내고 어떻게 제거할 수 있는지 알려줄 수 있는 사람이 있나요?
편집: Wireshark도 실행했습니다.
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
계속해서 다른 대상 IP를 기록해 두십시오. 다시 연결할 때마다 변경되거나 해당 주소로의 아웃바운드 트래픽을 삭제하도록 방화벽 규칙을 설정할 수 있습니다.
답변1
이런 종류의 사고를 보다 효율적인 방법으로 모니터링할 수 있도록 fall2ban, OSSEC와 같은 도구를 설치하는 것이 좋습니다.
그런 다음 netstat를 사용하면 사용자, inode 등을 얻을 수 있습니다. 포트를 알고 있는 경우:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
답변2
노력하다네호그, 일반 명령과 비슷 top하지만 프로세스별 네트워크 사용량을 보여줍니다.