有时(大概每天一次)我似乎会在 15 分钟内无缘无故地收到大量约 2.5Mb/s 的传入网络流量。没有 P2P,除了浏览器和电子邮件外没有启动任何内容,我甚至尝试过在不做任何更改的情况下停止它们。
我的电脑是个人 Mac OS X 10.10.4 (Yosemite),由 Mac OS X 10.9.6 (Mavericks) 更新而来,我是唯一的所有者。我有一个脚本,rsync每小时在我的本地网络上传输数据,但显然不是那样。我还安装了 Synology 应用程序,但它已关闭,不会出现在ps aux或中top。
我调查了iftop,这样我就能看到它来自哪里:
当我将端口显示转为数字时,FMTP 为 8500,它对应于飞行信息协议。
然后我尝试 ping 这些 IP:
Buzut:~ Buzut$ ping 89.86.97.2
PING 89.86.97.2 (89.86.97.2): 56 data bytes
36 bytes from vl212.c6k04-t2.net.bbox.fr (62.34.0.182): Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 abc7 0 0000 38 01 5abc 192.168.1.37 89.86.97.2
Request timeout for icmp_seq 0
36 bytes from vl212.c6k04-t2.net.bbox.fr (62.34.0.182): Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 ae78 0 0000 38 01 580b 192.168.1.37 89.86.97.2
--- 89.86.97.2 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
Buzut:~ Buzut$ ping 239.0.5.49
PING 239.0.5.49 (239.0.5.49): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
--- 239.0.5.49 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
奇怪的是,我192.160.1.37在我的网络上,但这里却在下载数据,89.86.97.2就239.0.5.49好像它只是经过我的电脑而没有到达目的地一样。
bbox.fr与我的 ISP 有关,因为它是 Bouygues Telecom。但除此之外,它对我来说仍然很可疑。我如何才能了解更多信息?正在下载什么?用于什么目的?
与此同时,我不认为netstat。就选项而言,Mac OS X 中的 版本netstat与其他系统上的 版本不同。因此,如下所示:
Buzut$ netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 192.168.1.37.50924 stackoverflow.co.https ESTABLISHED
tcp4 0 0 192.168.1.37.50922 190.93.245.58.http ESTABLISHED
tcp4 0 0 192.168.1.37.50918 ec2-23-21-110-17.http ESTABLISHED
tcp4 0 0 192.168.1.37.50917 ec2-23-21-110-17.http ESTABLISHED
tcp4 0 0 192.168.1.37.50912 104.16.12.8.http ESTABLISHED
tcp4 0 0 192.168.1.37.50799 a23-200-86-198.d.http ESTABLISHED
tcp4 0 0 192.168.1.37.50797 mrs04s09-in-f206.http ESTABLISHED
tcp4 0 0 192.168.1.37.50585 ip-228.net-89-3-.6690 ESTABLISHED
tcp4 0 0 localhost.cap *.* LISTEN
tcp4 0 0 localhost.1024 *.* LISTEN
tcp4 0 0 localhost.blackjack *.* LISTEN
tcp4 0 0 192.168.1.37.49468 stackoverflow.co.https ESTABLISHED
tcp46 0 0 *.53673 *.* LISTEN
tcp4 0 0 *.53673 *.* LISTEN
tcp4 0 0 192.168.1.37.49445 17.110.227.99.5223 ESTABLISHED
tcp4 0 0 localhost.27017 localhost.64807 ESTABLISHED
tcp4 0 0 localhost.64807 localhost.27017 ESTABLISHED
tcp4 0 0 *.27017 *.* LISTEN
tcp4 0 0 192.168.1.37.64286 192.230.65.4.ip..https ESTABLISHED
tcp4 143 0 192.168.1.37.58235 ns0.ovh.net.imap CLOSE_WAIT
tcp4 143 0 192.168.1.37.58232 ns0.ovh.net.imap CLOSE_WAIT
tcp4 143 0 192.168.1.37.58230 ns0.ovh.net.imap CLOSE_WAIT
tcp4 0 0 192.168.1.37.56996 17.172.239.102.5223 ESTABLISHED
tcp4 0 0 localhost.intu-ec-clie *.* LISTEN
tcp6 0 0 localhost.intu-ec- *.* LISTEN
tcp4 143 0 192.168.1.37.62687 ns0.ovh.net.imap CLOSE_WAIT
tcp4 0 0 localhost.ipp *.* LISTEN
tcp6 0 0 localhost.ipp *.* LISTEN
udp4 0 0 *.53878 *.*
udp4 0 0 *.62654 *.*
udp4 0 0 *.* *.*
udp46 0 0 *.53673 *.*
udp4 0 0 *.53673 *.*
udp4 0 0 *.54480 *.*
udp4 0 0 192.168.1.37.ntp *.*
udp6 0 0 buzut.ntp *.*
udp6 0 0 *.62268 *.*
udp4 0 0 *.62268 *.*
udp6 0 0 *.53100 *.*
udp4 0 0 *.53100 *.*
udp6 0 0 *.63111 *.*
udp4 0 0 *.63111 *.*
udp6 0 0 *.53310 *.*
udp4 0 0 *.53310 *.*
udp6 0 0 *.65513 *.*
udp4 0 0 *.65513 *.*
udp6 0 0 *.62913 *.*
udp4 0 0 *.62913 *.*
udp46 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.54514 *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp6 0 0 localhost.ntp *.*
udp4 0 0 localhost.ntp *.*
udp6 0 0 localhost.ntp *.*
udp6 0 0 *.ntp *.*
udp4 0 0 *.ntp *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp46 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp6 0 0 *.mdns *.*
udp4 0 0 *.mdns *.*
udp4 0 0 *.* *.*
udp4 0 0 *.netbios-ns *.*
udp4 0 0 *.netbios-dgm *.*
答案1
以下是我对您所呈现内容的分析:
基础
239.0.5.49是管理范围(本地)多播地址范围内从239.0.0.0到 的一个多播地址239.255.255.255。
由于89.86.97.2解析为 Bouygues Telecom,我最好的猜测是这是您的出站/WAN 接口地址或者也许是布依格电信网络上的路由器。
至于你们之间的差异iftop结果和netstat去,Server Fault 上的这个答案简明总结:iftop使用 pcap(数据包捕获)显示/捕获网络上的所有数据包,同时netstat严格显示网络上打开套接字的机器。
因此,我的猜测是,虽然您可能不知道某个进程正在运行,但您网络上的某些东西(甚至可能是您的 ISP 连接设备;调制解调器或路由器)正在向外向网络广播89.86.97.2。多播的意思是:只需将数据包扔到网络上即可。
更多细节/理论
是的,港口8502在某些端口解密网站上,该端口被翻译为“FTN 消息传输协议”,但接收端口49152在动态/私有端口范围内。我的直觉告诉我,8502在这种情况下,该端口可能用于其他用途,因为——例如——CommCell/CommVault 等软件8502也使用端口。
至于什么会偶尔造成 2.5MB 的流量?不知道。但根据 CommCell 的想法,阅读软件文档后会发现:
该软件提供了一套强大的存储管理工具,可帮助您移动和管理关键数据。这些工具使您能够存储和检索与企业中的计算机系统相关的数据。
因此,了解了所有这些之后,您说您正在使用 Mac OS XI,但不清楚您使用的是哪种机器,或者它最初来自哪里。它是否曾经是企业(又称工作场所)环境的一部分,需要定期将机器使用情况数据发送给管理员?因为您所说的这种不时出现的 2.5MB 数据爆发似乎与某些试图“联系”网络中央服务器发送数据的后台/守护程序系统监控进程很好地吻合。
意思是,我相信一些与 CommCell 相关的进程——也许是安装在客户端系统上的 iDataAgent正如这里解释的那样— 正在尝试将您机器的系统 EKG 数据广播到更大的世界;它认为这是一个中央 CommCell Console 服务器。但由于您不在企业环境中,或者这台机器配置错误,因此它失败了。因此,2.5MB 的数据只是被转储到以太网中,而您的89.86.97.2(Bouygues Telecom)外部 IP 地址的“目的地”是它能做的最好的事情。
附录
尽管如此,在对这个答案的评论中你说道,“…但是这 2.5MB 的数据是传入的,而不是传出的…”嗯,从技术上来说确实如此传入;流量来自地址89.86.97.2(Bouygues Telecom 地址),并且显然要到达239.0.5.49(您系统上的多播地址)。因此,似乎 Bouygues Telecom 网络上的某些东西正在向所有多播连接(包括您的连接)广播这 2.5MB 的数据。这就是多播的意义所在。
也就是说,我不相信这些是来自你的 Mac OS X 计算机上的某个进程,而只是iftop收集它收到的所有数据包并告诉你它看到的内容。
您是否应该担心看似随机的 2.5MB 数据突发会发送到您的 Bouygues Telecom 网络连接?我对此有点不确定,但如果您担心,我建议您联系 Bouygues Telecom 技术支持并询问:“您的网络每隔 15 分钟左右就会向我的计算机网络发送 2.5MB 的多播流量,这是什么原因?”当然,您获得该问题的直接/真实答案的机会微乎其微,但老实说,如果您真的对此感到好奇,这不失为一个不错的第一步。