在上周左右,我的网络监控显示我的台式计算机已开始通过以太网连接 (eno) 定期发送约 0.7MB/s 的数据。
我对网络协议知之甚少,但一直试图找出哪些进程负责这种大量的网络使用。一些简单的方法是关闭我的网络浏览器、终止 dropbox 等。这些似乎都不是罪魁祸首。
我也尝试过使用nethogs
,但它没有显示任何在此使用级别使用网络的进程。然后我尝试使用iptraf-ng
.我很难理解输出,但我最终发现大部分流量都是通过 流出的UDP/sunrpc
。我尝试将此信息与lsof -i:sunrpc
或一起使用lsof -i:111
,但没有得到任何信息。
ipgraf-ng
过滤sunrpc的输出给出以下结果
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.77.151:5709
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 160.20.57.123:32421 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 160.20.57.123:32421
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 156.226.101.174:39960 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.101.174:39960
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 103.80.24.127:22853 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 103.80.24.127:22853
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 156.226.125.197:56897 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.125.197:56897
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 103.30.201.131:27703 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 103.30.201.131:27703
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 154.204.194.227:21216 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 154.204.194.227:21216
查找这些 IP 地址让我感到担忧,因为它们与我所知道的任何实体都没有关联。
谁能帮助我了解发生了什么事?
答案1
正如 @Bib 和 @eyoung100 所指出的,我的机器被用来放大 DNS 攻击。我已rpcbind
使用以下命令停止并禁用了该服务
$ sudo systemctl stop rpcbind
$ sudo systemctl stop rpcbind.socket
和
$ sudo systemctl disable rpcbind
$ sudo systemctl disable rpcbind.socket
因为不需要(AFAIK)。我的电脑唯一真正的服务器功能是nfs4.2
.