最近,我经常怀疑我的路由器(一个 Linux 盒子)可能被用作垃圾邮件爆发或类似质量的机器人,因为我可能无意中错误配置了我的 iptables 规则。 (我相信这些现在已经解决了。)
在查看盒子并试图找出可能出现问题的地方时,我曾经注意到内部(eth0)和外部(eth1,ppp0)接口上接收和发送的数据包数量的数据有时会严重不匹配。路由器本身不应该产生任何重要的外部流量,除非我告诉它(使用 apt-get 等进行更新),并且内部 (eth0) 接口上的数字略有不同是通过 ssh 登录引起的。但是,在我的情况下,外部接口(而不是内部接口)上永远不应该有大量数字,对吗?所以这是我的问题:
我可以通过查看 ifconfig 的输出来判断我的路由器是否被用作机器人吗?数字(至少大致)应该像这里显示的那样匹配吗?
答案1
我假设这些计数器 ( eth0, eth1) 指的是第 2 层数据。因此,eth1流量就是ppp0流量加上 PPPoE 开销。
此外,以太网传输存在冲突(如输出所示),而虚拟接口流量则不会。
流量增加的另一个来源是 MSS 处理(对于 TCP)。即路由器发送其后面的网络尚未发送的 ICMP 数据包。
如果您的系统被滥用(垃圾邮件),那么差异将是巨大的(如果计数器没有被篡改)。