milyen eszközzel lehet egyszerűen megnézni, hogy mi forgalmaz a gépemen?

Előfordul az, hogy a KDE Network Monitor folyamatos forgalmazást mutat, és érdekelne, hogy mi is az, ami történik.

Felhasználóként valami olyan egyszerű dolognak örülnék, hogy pl. rákattintok a Network Monitorra, és az kiadna egy listát, hogy pl. az NFS fájlrendszeren megy forgalmazás 300 megabittel az akármi IP címmel (amiről szemmel látom, hogy az a NAS), meg a apt éppen forgalmaz 99 megabittel az ftp.uk.debian.org géppel http protokolon, meg a secretbotnet process forgalmaz az akármi IP címmel...

Na ezt nem tudja.

Jelenleg azt csinálom (és ez nagyon messze van az egyszerűtől és a gyorstól), hogy iptraf-ng-vel megnézek dolgokat.

Pl. most van egy folyamatos kb. 100 kbit-es forgalom az etherneten és egy másik 100 kbit-es a wifin is. (kbps)

iptraf-on belül az ip traffic monitoron látom, hogy TCP forgalom kb. nincs, UDP forgalomra folyamatosan írja, hogy mi mivel kommunikál, de sokat nem mond nekem.

General interface statistics alatt látom, hogy kb. ugyanannyi packet megy wifi és ethernet csatornán, azt is látom, hogy kb. fele IPv4, fele IPv6.

Detailed interface statistics alatt látom, hogy UDP-n megy a forgalom 99%-a

LAN station monitor ad nekem egy MAC címet a kimenő csomagokhoz és két másik MAC címet a bejövő csomagok egyik és másik feléhez.

Ennyit tud a tool. Ezután arp talán megmondja, hogy a 3 MAC címhez melyik 3 IP cím tartozik.

192.168.0.14 ahova megy a forgalom, ami valószínű az asszony céges MacBook-ja.

A másik két MAC nincs a listájában. Megnézem a routert, az se mutat eszközt ilyen MAC címekkel.

OK, szóval jó tíz-tizenöt perces kutakodással annyi derült ki, hogy a UDP-n forgalmaz valamit az a MacBook az én laptopomon át. Megnézve a másik laptopomat, azon is van egy 100 megabites forgalom, ugyanonnan ugyanoda.

Ennél egy kicsivel tovább valószínű el lehetne jutni, pl. ha nem csak átmenő forgalom lenne, akkor ha azt látnám, hogy az én oldalamon melyik portra és portról megy a forgalom, akkor azt meg tudnám nézni, hogy melyik processzhez tartozik, stb.

Örülnék neki, ha eddig a pontig sokkal hamarabb és sokkal egyszerűbben juthatnék el.

Van valakinek ötlete?

+1 kérdés:

Nem bánnám, ha arra mondanátok valamit, hogy mit forgalmaz a Macbook ennyit. Nem kapcsolódik a fenti konkrét kérdéshez, de érdekelne.

UDP forgalomra ezt írta a netstat:

UDP (727 bytes) from 192.168.0.14:5353 to 224.0.0.251:5353 on wlp0s20f3
UDP (747 bytes) from fe80::c4c:7204:7569:2434:5353 to ff02::fb:5353 on wlp0s20f3
UDP (711 bytes) from 192.168.0.14:5353 to 224.0.0.251:5353 on wlp0s20f3
UDP (731 bytes) from fe80::c4c:7204:7569:2434:5353 to ff02::fb:5353 on wlp0s20f3
UDP (727 bytes) from 192.168.0.14:5353 to 224.0.0.251:5353 on wlp0s20f3
UDP (747 bytes) from fe80::c4c:7204:7569:2434:5353 to ff02::fb:5353 on wlp0s20f3
UDP (731 bytes) from fe80::c4c:7204:7569:2434:5353 to ff02::fb:5353 on wlp0s20f3
UDP (727 bytes) from 192.168.0.14:5353 to 224.0.0.251:5353 on wlp0s20f3
UDP (747 bytes) from fe80::c4c:7204:7569:2434:5353 to ff02::fb:5353 on wlp0s20f3
UDP (711 bytes) from 192.168.0.14:5353 to 224.0.0.251:5353 on wlp0s20f3
UDP (731 bytes) from fe80::c4c:7204:7569:2434:5353 to ff02::fb:5353 on wlp0s20f3

A bal oldali IPv4 és IPv6 címek a céges MacBookhoz tartoznak. 224.0.0.x meg helyi broadcast.

Hozzászólások

wireshark? Elvileg úgy láttam, van MAC-ra is.

gyrgyvrs

Ja, alapvetően az tudja a legtöbbet, meg az a legkezdőbarátabb, de ha valaki terminálfetisiszta, akkor a netstat, atop, iftop, pidstat, és hasonlók segítségével is lefülelhető, hogy melyik gerinctelen folyamat forgalmazgat a háttérben sunyi módon.

“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧

Csak gyors Google kereséssel:

"The mDNS protocol is published as RFC 6762, uses IP multicast User Datagram Protocol (UDP) packets, and is implemented by the Apple Bonjour and open source Avahi software packages, included in most Linux distributions."

"An mDNS message is a multicast UDP packet sent using the following addressing: IPv4 address 224.0.0.251 or IPv6 address ff02::fb; UDP port 5353"

Köszönöm, ugyan kerestem Google-lel, de nem gondoltam arra, hogy a konkrét IP címekre és portokra keressek rá.

És az normális, hogy az mDNS protokol folyamatos 300 kilobit per másodperces forgalmat generáljon két laptopon órákon át? Most nem néztem meg, de a NAS-on, a nyomtatón és a telefonokon is ugyanilyen forgalmat generált feltételezhetően?

Ha a belső hálón nem csak ez a két másik laptop lenne most bekapcsolva, hanem mondjuk lenne 100 gép (mondjuk egy iskolai laborban), akkor a MacBook simán gépenként 2x100 kilobitet forgalmazva a saját WiFi kapcsolatán áttolna minden másodpercben 20 megabitet?

Csak nekem tűnik úgy, hogy ez a forgalmazás teljesen feleslegesen terheli a hálózatot?

No mindegy, bekúrtam a MacBookot egy guest WiFi VPN-be, aztán ott tolhatja a broacast, a többieket nem zavarja.

Én úgy emlékeztem, hogy a Bonjour az végignézi a hálózatot, hogy mi lóg rajta, és feltételeztem, hogy ehhez időnként küld 1-2 csomagot. Nem folyamatosan ezerszámra. De nem tudom, hogy konkrétan hogyan működik és mit csinál, szóval simán lehet, hogy rossz volt a feltételezésem.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Szerkesztve: 2021. 05. 18., k – 21:30

iptraf-nál konkrétabbat szerintem semmilyen app nem tud mutatni neked....