Лезет непонятный трафик

0

0

Привет всем! У меня такая проблема, ПК качает непонятный трафик, причем достаточно по крупному - 1 мб в 10 минут. Хотелось бы узнать, кто это делает. Что за программа, вирус или может прицепился кто ко мне, как это можно вообще выяснить? Причем даже когда я в iptables все отключил, трафик все равно ползет, как такое может быть? linux slackware 12.2, eth0 смотрит в сеть, eth1 смотрит в нет. Соответственно на eth1 трафик на закачку ползет.

Ссылка

←	squid blacklists

и снова права доступа [acl]

→

skype?

Sylvia ★★★★★
(17.04.10 16:19:26 MSD)

Ссылка

Запустите Wireshark(или tcpdump) и посмотрите там, что за трафик.

edigaryev ★★★★★
(17.04.10 16:21:13 MSD)

Ссылка

iptraf удобен в таких случаях.

~~k0l0b0k~~ ★★
(17.04.10 16:26:24 MSD)

Ссылка

tcptrack помогает узнать порт с трафиком.
А lsof кто его открыл.

Svoloch ★★★
(17.04.10 17:19:55 MSD)

Ответ на: комментарий от Svoloch 17.04.10 17:19:55 MSD

tcptrack - у меня линух не знает такую команду. посмотрел пакеты с помощью tcpdump, судя по всему общение происходит с провайдером, во всяком случае подсеть его... Я только одного понять не могу: в iptables все политики выставил DROP IPTABLES -L показывает, что input, output, forward - все DROP НО пакеты все равно идут? такое вообще возможно? Подскажите, плиз, куда смотреть.

pervu
(17.04.10 17:31:07 MSD) автор топика

Ответ на: комментарий от pervu 17.04.10 17:31:07 MSD

tcpdump показывает пакеты до обработки фаерволом помоему.
tcptrack показывает соединения и их скорость.

debian# apt-cache show tcptrack
Package: tcptrack
Priority: optional
Section: net
Installed-Size: 92
Maintainer: Leo Costela <costela@debian.org>
Architecture: i386
Version: 1.3.0-1
Depends: libc6 (>= 2.7-1), libgcc1 (>= 1:4.1.1-21), libncurses5 (>= 5.6+20071006-3), libpcap0.8 (>= 0.9.3-1), libstdc++6 (>= 4.2.1-4)
Filename: pool/main/t/tcptrack/tcptrack_1.3.0-1_i386.deb
Size: 39120
MD5sum: d4230a5dcf40c4559c280c25d3d7ad66
SHA1: 8b7e7273c2710d90ae22d7012069b26cac5cd20a
SHA256: e5a92d956ddc78a0901035ffabcbfd2e7ecfb5408fa46043a7048b9268a12380
Description: TCP connection tracker, with states and speeds
tcptrack is a sniffer which displays information about TCP connections
it sees on a network interface. It passively watches for connections
on the network interface, keeps track of their state and displays a
list of connections in a manner similar to the unix 'top' command. It
displays source and destination addresses and ports, connection
state, idle time, and bandwidth usage.
Homepage: http://www.rhythm.cx/~steve/devel/tcptrack/
Tag: admin::monitoring, interface::text-mode, role::program, scope::utility, uitoolkit::ncurses, use::monitor

debian#

Svoloch ★★★
(17.04.10 18:12:59 MSD)

Ссылка

Ответ на: комментарий от pervu 17.04.10 17:31:07 MSD

А вообще надо разбирать что за пакеты. То что они идут не значит,
что доходят. Если траф tcp то можно хотя бы netstat -ln глянуть.
Покажет соединения и порты.

Svoloch ★★★
(17.04.10 18:14:53 MSD)

Ссылка

для особо ленивых:

nethogs ethX

ethX - интерфейс получающий интернет

(например у меня это ppp0)

Neclude
(17.04.10 19:48:32 MSD)

ТС, трафик какой - вход, исход, смешанный? Может просто снаружи кто-то долбит?

vadik ★★
(17.04.10 19:51:42 MSD)

Ссылка

Ответ на: комментарий от Neclude 17.04.10 19:48:32 MSD

Спасибо, запишу.

Svoloch ★★★
(17.04.10 22:48:03 MSD)

Ссылка

Ответ на: комментарий от pervu 17.04.10 17:31:07 MSD

> НО пакеты все равно идут? такое вообще возможно ?

А с чего бы им не идти, если их кто-то шлёт ? То, что они файрволом режутся, никак не означает отсутствие трафика.

AS ★★★★★
(18.04.10 04:55:52 MSD)

Ответ на: комментарий от AS 18.04.10 04:55:52 MSD

>То, что они файрволом режутся, никак не означает отсутствие трафика.

то есть трафик все равно будет считаться? вот мой nstat -nl: Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN tcp6 0 0 :::139 :::* LISTEN tcp6 0 0 :::6000 :::* LISTEN tcp6 0 0 :::22 :::* LISTEN tcp6 0 0 :::445 :::* LISTEN udp 0 0 0.0.0.0:512 0.0.0.0:* udp 0 0 0.0.0.0:48904 0.0.0.0:* udp 0 0 192.168.1.1:137 0.0.0.0:* udp 0 0 0.0.0.0:137 0.0.0.0:* udp 0 0 192.168.1.1:138 0.0.0.0:* udp 0 0 0.0.0.0:138 0.0.0.0:* udp 0 0 0.0.0.0:37 0.0.0.0:* udp 0 0 0.0.0.0:3130 0.0.0.0:* Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 8007 /tmp/.X11-unix/X0 unix 2 [ ACC ] STREAM LISTENING 8080 /tmp/ksocket-root/kdeinit__0 unix 2 [ ACC ] STREAM LISTENING 8137 @/tmp/fam-root- unix 2 [ ACC ] STREAM LISTENING 8082 /tmp/ksocket-root/kdeinit-:0 unix 2 [ ACC ] STREAM LISTENING 8089 /tmp/.ICE-unix/dcop2652-1271579542 unix 2 [ ACC ] STREAM LISTENING 8209 /tmp/.ICE-unix/2665 unix 2 [ ACC ] STREAM LISTENING 8112 /tmp/ksocket-root/klauncherX1CMRa.slave-socket unix 2 [ ACC ] STREAM LISTENING 8575 /tmp/ksocket-root/localhost-0a73-4bcac3a6 unix 2 [ ACC ] STREAM LISTENING 6768 /var/run/dbus/system_bus_socket unix 2 [ ACC ] STREAM LISTENING 7707 /dev/gpmctl unix 2 [ ACC ] STREAM LISTENING 8006 @/tmp/.X11-unix/X0 unix 2 [ ACC ] STREAM LISTENING 6791 @/var/run/hald/dbus-MzFyu1FOyV unix 2 [ ACC ] STREAM LISTENING 6794 @/var/run/hald/dbus-B9lD2zuzk0

а вот выдержка tcpdump -i eth1 -ttt tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 00:00:00.000000 ARP, Request who-has 195.110.46.33 (00:13:1a:bc:6b:a1 (oui Unknown)) tell 195.110.46.43, length 46 00:00:00.004101 IP 195.110.46.122.36909 > inet62.ru.domain: 48010+ PTR? 33.46.110.195.in-addr.arpa. (44) 00:00:00.038444 ARP, Request who-has 195.110.46.161 tell 195.110.46.174, length 46 00:00:00.025668 IP inet62.ru.domain > 195.110.46.122.36909: 48010 NXDomain* 0/1/0 (94) 00:00:00.001602 IP 195.110.46.122.33608 > inet62.ru.domain: 25302+ PTR? 43.46.110.195.in-addr.arpa. (44) 00:00:00.059457 IP inet62.ru.domain > 195.110.46.122.33608: 25302 NXDomain* 0/1/0 (94) 00:00:00.001595 IP 195.110.46.122.55139 > inet62.ru.domain: 39504+ PTR? 151.75.31.78.in-addr.arpa. (43) 00:00:00.064310 IP inet62.ru.domain > 195.110.46.122.55139: 39504* 1/1/1 (96) 00:00:00.001285 IP 195.110.46.122.48257 > inet62.ru.domain: 11979+ PTR? 122.46.110.195.in-addr.arpa. (45) 00:00:00.063296 IP inet62.ru.domain > 195.110.46.122.48257: 11979 NXDomain* 0/1/0 (95) 00:00:00.001431 IP 195.110.46.122.33647 > inet62.ru.domain: 33866+ PTR? 161.46.110.195.in-addr.arpa. (45) 00:00:00.059602 IP inet62.ru.domain > 195.110.46.122.33647: 33866 NXDomain* 0/1/0 (95) 00:00:00.001176 IP 195.110.46.122.57554 > inet62.ru.domain: 19115+ PTR? 174.46.110.195.in-addr.arpa. (45) 00:00:00.064997 IP inet62.ru.domain > 195.110.46.122.57554: 19115 NXDomain* 0/1/0 (95) 00:00:00.406049 ARP, Request who-has 195.110.46.129 (00:13:1a:bc:6b:a1 (oui Unknown)) tell 195.110.46.140, length 46 00:00:00.001414 IP 195.110.46.122.38097 > inet62.ru.domain: 51913+ PTR? 129.46.110.195.in-addr.arpa. (45)

как я уже говорил, общение походу идет с сетью провайдера. Подскажите, что мне делать?

pervu
(18.04.10 13:02:54 MSD) автор топика