centos 7 高出站流量 50-80 MiB/s,难以识别进程

centos 7 高出站流量 50-80 MiB/s,难以识别进程

我有一个更新的全新安装的 CentOS 7。安装后的第二天,我注意到它发出了大量出站流量,足以减慢整个家庭网络的速度并使我的 Netgear n450 路由器崩溃。

iftop 显示:

192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix

那个目的港 Asterix 看起来很奇怪。我跑了netstat,但没有看到任何与该目的地相关的信息,也lsof -i :asterix没有显示任何内容。

我愿意删除所有内容并重新安装,但我的好奇心让我想深入研究一下。有人能告诉我如何找出导致这种情况的进程以及如何删除它吗?

编辑:我还运行了 wireshark:

192.168.0.9    39.107.224.31    tcp    921    54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9    39.107.224.31    tcp    911    28526 ->8600 [SYN] Seq=0 Win=60596 Len=857

并且它不断地运行,注意不同的目标IP,每次我重新连接或设置防火墙规则以丢弃到该地址的出站流量时它都会改变。

答案1

我建议安装fail2ban、OSSEC之类的工具,这样您就可以更有效地监控此类事件。

然后使用 netstat 您可以获取用户、inode 等。如果您知道端口:

# netstat -tanp -e |awk 'NR == 2 || /<port_number/'

Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name    
tcp        0      0 0.0.0.0:8009            0.0.0.0:*               LISTEN      43475      8771034    30611/java       

答案2

尝试网猪,它类似于常规top命令,但显示每个进程的网络利用率。

相关内容