我有一个更新的全新安装的 CentOS 7。安装后的第二天,我注意到它发出了大量出站流量,足以减慢整个家庭网络的速度并使我的 Netgear n450 路由器崩溃。
iftop 显示:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
那个目的港 Asterix 看起来很奇怪。我跑了netstat,但没有看到任何与该目的地相关的信息,也lsof -i :asterix没有显示任何内容。
我愿意删除所有内容并重新安装,但我的好奇心让我想深入研究一下。有人能告诉我如何找出导致这种情况的进程以及如何删除它吗?
编辑:我还运行了 wireshark:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
并且它不断地运行,注意不同的目标IP,每次我重新连接或设置防火墙规则以丢弃到该地址的出站流量时它都会改变。
答案1
我建议安装fail2ban、OSSEC之类的工具,这样您就可以更有效地监控此类事件。
然后使用 netstat 您可以获取用户、inode 等。如果您知道端口:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java
答案2
尝试网猪,它类似于常规top命令,但显示每个进程的网络利用率。