我的 archlinux 系統的 Gnome 系統監視器報告持續的網路使用情況,大約 1~2 KiB/s 的接收速度和非常小的發送使用情況,即使我沒有任何正在運行的應用程式也是如此。我的 iptables 設定不允許任何監聽,只允許本地進程建立的連線。我沒有啟用任何使用網路的守護程式。我嘗試使用 nethogs 找出哪些程序使用網路。它報告了類似這樣的事情。
? root (my static ip address):41764-61.134.84.44:24630 0.000 0.023 KB/sec
? root (my static ip address):2323-184.105.247.226:37393 0.000 0.018 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
報告地址會不時變更。當我禁用 gdm 並且沒有 xorg 或 gnome 會話運行時,也會發生這種網路使用情況。我不知道是什麼導致了網路使用。任何想法?
答案1
一個尋找第一個地址顯示它是中國的系統:
$ nslookup 61.134.84.44 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
44.84.134.61.in-addr.arpa name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.
Authoritative answers can be found from:
$
末尾的“cn”完全限定域名 (FQDN)是個中國的國家代碼。還有亞太網路資訊中心 (APNIC), 這地區互聯網註冊機構 (RIR)對於亞洲,顯示 IP 位址61.134.84.44位於中國分配給「Tsqc互聯網俱樂部」的地址範圍內。
對另一個位址 184.105.247.226 進行 nslookup 顯示與該位址關聯的 FQDN 為scan-13h.shadowserver.org。這影子伺服器基金會是一個「由專業網路安全工作者組成的志工團體,負責收集、追蹤和報告惡意軟體、殭屍網路活動和電腦詐欺。它的目的是透過提高對受感染伺服器、惡意攻擊者的存在和傳播的認識來提高互聯網的安全性。這首頁對該組織來說:
Shadowserver 基金會成立於 2004 年,收集網路黑暗面的情報。我們由來自世界各地的志願安全專業人員組成。我們的使命是了解並幫助制止資訊時代的高風險網路犯罪。
至於為什麼你可能會看到你的系統和ShadowServer系統之間有網路傳輸,請參閱該組織的開啟連接埠映射器掃描項目頁。
中國的其他 IP 位址可能是該系統嘗試連接到您的系統。這網路風暴中心,這是一個程序SANS技術研究所報告稱,它監控網路上的惡意活動水平最近來自 61.134.84.44 位址的掃描活動。
如果您連接到互聯網,您應該預料到世界各地的系統都會頻繁嘗試連接到您的系統,因為世界各地的人們都在掃描互聯網以查找存在可利用漏洞的系統;連線嘗試並不一定意味著您的系統容易受到攻擊,只是表示有人正在探測您的 IP 位址是否有漏洞。
你可以使用tcp轉儲或者Wireshark擷取和分析資料流,以便更好地了解正在發生的情況,即是否有人只是掃描您的系統以查找漏洞或是否有人破壞了您的系統。如果你不熟悉,學習有效地使用這些工具可能需要相當長的時間網際網路網路協定,但它們在解決網路問題和分析網路流量方面具有無價的價值。
更新:
您發布的輸出網路豬僅顯示了網路連接埠對於其他系統,即24630中國的系統和37393Shadowserver系統,但不是您系統上相應的端口,但是如果您想知道什麼進程正在監聽您系統上的特定端口,您可以使用拉索夫命令。例如,如果您想知道哪個進程正在偵聽標準 HTTP 端口,即知名港口80,您可以下達命令lsof -i TCP:80(傳輸控制協定是 HTTP 協議,而其他一些網路協議則使用UDP協定)或者,您也可以使用網路統計命令netstat -nlp | grep :80。從 root 帳戶發出命令,即以 root 身分登入並發出命令,或sudo根據您所使用的 Linux 發行版將其放在命令前面。參考尋找使用特定連接埠的進程的PID?於Unix 和 Linux此網站的姊妹網站提供其他方法和範例輸出。