nethogs 中存在大量未知连接

nethogs 中存在大量未知连接

运行 nethogs 时,我看到数百个不同的连接到相同的 ip 和端口滚动。有时,外部 IP 和端口会更改(并不总是 80,但有时会更改)。我注意到,当发生这些巨大的连接爆发时,我的路由器 CPU 使用率会跃升至 100%,因此我相当肯定,这种巨大的峰值会持续使路由器过载,并导致我的网络在长达 60 秒的时间里毫无用处。

扫管笏

我尝试过的事情:

  • sudo netstat -tulpn | grep $whateverip: 没有什么
  • sudo netstat --inet -ap | grep $whateverip: 没有什么
  • sudo lsof -i | grep $whateverport:到此完成时,端口和 IP 再次更改

这可能只是一种偏执,但我发誓似乎每次我试图深入研究连接的更多信息时,端口和 IP 都会发生变化,所以我的命令什么也没给我。

我是否正在处理服务器中存在的邪恶事物?或者我在有限的网络知识中缺少一些更良性的解释?

另请注意,这是一个没有 UI 的 Ubuntu 服务器,所以这不是我在追逐某个只是浏览 reddit 的人。

答案1

我也有同样的问题。通过输入以下命令过滤到有问题的 ip 的传出流量,暂时解决了这个问题:

sudo iptables -A OUTPUT -d <ip-adress>/24 -j DROP
sudo iptables-save

“/24”表示它只关心 ip 地址中的前三个数字。问题是它不断返回新的 IP 地址。我现在已经在 iptables 中添加了 12 条这样的线路,距离洪水已经过去几个小时了,但我预计明天早上还会再次发生。对我来说,它似乎在夜间/清晨(CET)加剧。大多数(但不是全部)都位于中国。我认为这篇文章可能相关,但我不确定:

http://www.michael-joost.de/dnsterror.html

如果你弄清楚了,请告诉我。接下来我是尝试更改我的 root 帐户的密码,看看是否有帮助。

答案2

确定您必须使用的流程sudo-np使用

sudo netstat -np | grep <ip>

--numeric, -n 显示数字地址,而不是尝试确定符号主机、端口或用户名

由于它不需要解析 IP 地址,这正是您想要的。

但是你想看看它是哪个程序

-p, --program 显示每个套接字所属程序的 PID 和名称。

相关内容