Érthetetlen forgalom

 ( ulmus | 2006. november 5., vasárnap - 15:09 )

Frissen telepített 0.5-ös Frugalon a bejelentkezés után rögtön 8-10 KB/s-os állandó bejövő forgalom van és kezdőként gőzöm sincs mi ennek az oka. KNetStats és a Firestarter egyaránt ugyanezt az értéket mutatja, a Net T-Kábelen jön és a szolgáltató statisztikája is erre az állandó forgalomra utal. Hogyan deríthetem ki mi okozza ezt?
Azért nem lenne túl jó ha az 1 GBos korlátomat a bekapcsolva hagyott, de nem használt gép magától kitöltené:(
ulmus

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Tűzfal, netstat?

Kezdővel van dolgod. Mit csináljak ezekkel?

Én ilyesmire az iptraf programot szoktam használni.

A netstat hálózati kapcsolatokról ad listát.
Írd be ezt:
netstat -an | grep -v unix

És akkor megkapod, hogy a gépeden milyen címekről és portokról létesített kapcsolatot vmi.
Egyébként meg milyen hálózatot használó programokat telepítettél?
Apache? Gaim? Skype?
Én nemrég azt vettem észre, hogy a Skype állandóan forgalmaz, akkor is ha éppen nem beszélek senkivel. Szerintem hibás a skype, ugyanis ha a /etc/resolv.conf -ban csak egy nameserver címet hagytam meg, akkor megszünt az extra skype-forgalom.

Nos ezt kaptam, hogyan értelmezzem?

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 1 0 62.201.81.189:45074 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45073 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45072 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45071 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45070 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45069 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45067 217.20.131.2:80 CLOSE_WAIT
tcp 1 0 62.201.81.189:45066 217.20.131.2:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:57999 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58000 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58001 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58002 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58003 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58004 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58005 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 62.201.81.189:58006 217.20.131.7:80 CLOSE_WAIT
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:512 0.0.0.0:*
udp 0 0 0.0.0.0:32769 0.0.0.0:*
udp 3656 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 62.201.81.189:32856 195.228.240.249:53 ESTABLISHED
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 :::32770 :::*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path

Az általad említett programok közül egyet se használok, eddig - tudomásom szerint - kizárólag Kmail-en és Firefoxon keresztül használtam a netet, de hát ez a bizonyos forgalom rögtön beindul, ahogy feláll a rendszer.

az ip címből az látszik, hogy az index.hu felé forgalmazol. gondolom a firefox maradt fent, bekapcsolva, az index.hu-n meg frissülnek a flashek.

Valóban jártam az indexen, de ugyanez (nagyságát tekintve) a forgalom látszik újraindítás után azonnal, amikor még nincs elindítva a firefox (sőt semmi).
No most próbálkozom néhány újraindítással és nézem az általatok javasolt dolgokat. Köszönöm az eddigieket és majd újra jövök a problémáimmal:)

Nos egy újraindítás után ez az eredmény:
~$ netstat -an | grep -v unix
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:512 0.0.0.0:*
udp 0 0 0.0.0.0:32769 0.0.0.0:*
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 :::32770 :::*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path

Ezek szerint semmi forgalom, de akkor mit jelez a KNetStats (merthogy az most is 8-10KB/s-t mutat)? A változatosság kedvéért az IPTraf szerint ugyanekkor 1-2 KB/s. Most melyiknek higgyek?

Megvan nálam is ez a knetsats és időnként amikor az adsl modem ledje szerint semmi átvitel nincs, mégis jelez forgalmat. Lehet hogy bugzódik.

No, igen ez is egy érdekes dolog: egy előző notebooknál kikapcsolt állapotban a kábelmodem ledje nem jelzett semmit, a mostani HP esetében ugyanúgy villog ki- illetve bekapcsolt állapotban. Miért?
Tkp. lehet, hogy feleslegesen görcsölök ezeken a dolgokon, de kíváncsi vagyok (és amatőr) a manóba is. Akkor fog ez engem igazán zavarni ha kiderül, hogy a szolgáltató is a knetstats-hoz hasonlóan méri a forgalmat.

A firestarter nálam jól jelzi ki a forgalmat, és ha a knetstats-ot átkapcsolom Chart kijelzés típusra, akkor az is jó.

Tényleg nem ok a knetstats, u.is chart kijelzéssel az eddigi 9 KB/s körüli érték, most lement 5-re!

A kábelmodem tudtommal olyan, hogy többen is rá vannak kötve, vagyis X darab gép van egy helyi hálózatban. A windows ilyenkor tipikusan keresgél más gépeket (netbios, stb), ami hálózati forgalmat generál. Ez nem lehetséges? (Chello esetén legalábbis állandó forgalom van a modem/router külső lábán).

Ezen a kábelmodemen egy linuxos (azaz van ezen XP is, de nem igazán használjuk:) gép, egy vonalas telefon és egy tv van. Szerintem más lehet itt a gond.

nalam folyamatosan villog a kabelmodem ledje, sztem a szolgaltato nem szur elegge es az alhalon levo gepek keresgelik egymast. majd ranezek wireshark-al hogy milyen cimrol jonnek

udv Zoli

Az egyes modemeket úgy fogd fel, mintha egy switch/HUB lábai lennének, azaz a broadcastok átmennek szépen a kábel felől. A bekapcsolás után meginduló forgalom az mondjuk a mailszervered DNS-keresgélése is lehet...

Ok, de ha létezik ez a bármilyen eredetű forgalom, akkor ezt nem kellene látnom itt?
~$ netstat -an | grep -v unix
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:512 0.0.0.0:*
udp 0 0 0.0.0.0:32769 0.0.0.0:*
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 :::32770 :::*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path

Mindenkinek köszönöm a segítséget, de sajnos lassan kezdem elhinni, hogy ez kideríthetetlen dolog (vagy csak elfogadni, hogy a knetstats bugos, de nagyon).

Ethereal: http://www.ethereal.com/ . Grafikus, ablakos Linuxon és Win-en is fut. (Egyébként nálam ARP csomagok jönnek mennek a kábelen.)

Tcpdump: http://www.tcpdump.org/ . Hasonló, parancssorból.

Nem tudom, kellenek-e neked ezek a szolgáltatások (SMTP, SSH, stb.)
Én a helyedben leállítanám ezeket legalább egy próba erejéig. A "hackerek" előszeretettel próbálkoznak a 22-es és 25-ös portokon.

OK. és hogyan is tudnám legegyszerűbben leállítani őket?

Frugalware-t még nem láttam. Pl. ssh-t talán így:
/etc/init.d/sshd stop

lol

service sshd stop # most
service sshd del # veglegesen

ellenorzes:

service sshd list

Frugalware alatt van erre grafikus cucc: frugalrledit.

"Trollhammaren sveper igen..."