未知进程持续使用网络

未知进程持续使用网络

我的 archlinux 系统的 Gnome 系统监视器报告称,即使我没有任何正在运行的应用程序,接收的网络使用率也稳定在 1~2 KiB/s 左右,发送的网络使用率也很低。我的 iptables 设置不允许任何监听,只允许由本地进程建立的连接。我没有启用任何使用网络的守护进程。我尝试使用 nethogs 找出哪个进程使用了​​网络。它报告了类似这样的内容。

? root   (my static ip address):41764-61.134.84.44:24630     0.000   0.023 KB/sec  
? root   (my static ip address):2323-184.105.247.226:37393   0.000   0.018 KB/sec
? root   unknown TCP                                         0.000   0.000 KB/sec

重新安置地址会不时发生变化。当我禁用 gdm 并且没有 xorg 或 gnome 会话运行时,也会发生这种网络占用情况。我不知道是什么导致了网络占用。有什么想法吗?

答案1

一个nslookup第一个地址显示它是中国的一个系统:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$ 

末尾的“cn”完全限定域名 (FQDN)是个中国的国家代码.还有亚太网络信息中心(APNIC), 这区域互联网注册局 (RIR)对于亚洲,显示 IP 地址61.134.84.44位于分配给中国“Tsqc internet club”的地址范围内。

对另一个地址 184.105.247.226 进行 nslookup 后,显示与该地址关联的 FQDN 是scan-13h.shadowserver.org影子服务器基金会是一个“由专业互联网安全工作者组成的志愿者团体,负责收集、跟踪和报告恶意软件、僵尸网络活动和计算机欺诈信息。该组织旨在通过提高人们对受感染服务器、恶意攻击者和恶意软件传播的认识来提高互联网的安全性。”主页该组织表示:

Shadowserver 基金会成立于 2004 年,致力于收集有关互联网黑暗面的情报。我们由来自世界各地的志愿安全专家组成。我们的使命是了解并帮助制止信息时代的高风险网络犯罪。

至于为什么您可能会看到您的系统与 ShadowServer 系统之间的网络传输,请参阅该组织的打开 Portmapper 扫描项目页。

中国境内的其他 IP 地址可能是该系统试图连接到您的系统。互联网风暴中心,这是SANS 技术研究所报告称,该机构监测互联网上的恶意活动水平来自 61.134.84.44 地址的最近扫描活动

如果您已连接到互联网,则您应该预料到世界各地的系统会频繁尝试连接您的系统,因为世界各地的人们都在扫描互联网以查找可利用的漏洞系统;连接尝试并不一定意味着您的系统存在漏洞,而只是表明有人在探测您的 IP 地址是否存在漏洞。

你可以使用tcpdump或者Wireshark捕获和分析数据流,以便更好地了解正在发生的事情,即是否有人在扫描您的系统以寻找漏洞,或者是否有人入侵了您的系统。如果您不熟悉互联网网络协议,但它们在解决网络问题和分析网络流量方面却非常有价值。

更新:

您发布的输出网络猪仅显示网络端口对于其他系统,即24630中国的系统和37393Shadowserver 系统,但不是您系统上的相应端口,但如果您想要知道哪个进程正在侦听系统上的特定端口,您可以使用lsof命令。例如,如果你想知道哪个进程正在监听标准 HTTP 端口,那么知名港口80,你可以发出命令lsof -i TCP:80TCP是 HTTP 协议,而其他一些网络协议使用UDP)或者,您也可以使用网络状态命令netstat -nlp | grep :80。从 root 帐户发出命令,即以 root 身份登录并发出命令或sudo根据您使用的 Linux 发行版将其放在命令前面。请参阅查找使用特定端口的进程的 PID?Unix 和 Linux此网站的姊妹网站提供了其他方法和示例输出。

相关内容