Linux

centos 7 高出站流量 50-80 MiB/s,故障辨識過程

  • February 16, 2018

我有一個更新的全新安裝的 CentOS 7。安裝一天后,我注意到來自它的大量出站流量,足以減慢整個家庭網路的速度並讓我的 Netgear n450 路由器崩潰。

iftop 揭示:

192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix

asterix 的目的港似乎很奇怪。我跑了netstat,但沒有看到與該目的地相關的任何內容,也lsof -i :asterix沒有顯示任何內容。

我願意擦掉整個東西並重新安裝,但我的好奇心想深入研究這個。誰能告訴我如何找出導致此問題的過程以及如何將其刪除?

編輯:我也跑了wireshark:

192.168.0.9    39.107.224.31    tcp    921    54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9    39.107.224.31    tcp    911    28526 ->8600 [SYN] Seq=0 Win=60596 Len=857

它繼續下去,注意不同的目標IP,每次我重新連接或設置防火牆規則以丟棄到該地址的出站流量時,它都會改變。

我建議安裝諸如fail2ban、OSSEC之類的工具,這樣您就可以更有效地監控此類事件。

然後使用 netstat 你可以獲得使用者、inode 等。如果你知道埠:

# netstat -tanp -e |awk 'NR == 2 || /<port_number/'

Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name    
tcp        0      0 0.0.0.0:8009            0.0.0.0:*               LISTEN      43475      8771034    30611/java       

試試Nethogs,它就像正常top命令,但會顯示每個程序的網路使用率。

引用自:https://serverfault.com/questions/897466