Автор Тема: непонятный трафик (Прочитано 2425 раз)

amer · « : 14 Ноября 2011, 15:52:02 »

заметил на компе сетевую активность
ubuntu 10.10
апплет индикатор скорости показывает входящую скорость до 4,5 Мб/с. исходящую около 500 Б/с
sudo netstat --inet -p выдает следующее:
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 cram-home:33631 64.209.77.16:www ESTABLISHED 2171/clock-applet
tcp 38 0 cram-home:57690 sumac.canonical.c:https CLOSE_WAIT 2386/gvfsd-http

возможно качает из локалки и нетстат не показывает....

помогите, что можно сделать, как выяснить кто что качает и куда

sudo -i tcpdump выдает:
...
15:53:28.174028 IP rtes1-v897.ti.ru.58684 > 233.49.170.11.5000: UDP, length 1316
15:53:28.174362 IP rtes1-v897.ti.ru.58701 > 233.49.170.47.5000: UDP, length 1316
15:53:28.174566 IP rtes3-v897.ti.ru.39949 > 233.49.170.12.5000: UDP, length 1316
15:53:28.174864 IP rtes1-v897.ti.ru.58741 > 233.49.170.10.5000: UDP, length 1316
15:53:28.175453 IP rtes1-v897.ti.ru.58745 > 233.49.170.71.5000: UDP, length 1316
15:53:28.176315 IP rtes1-v897.ti.ru.58695 > 233.49.170.35.5000: UDP, length 1316
15:53:28.176571 IP rtes1-v897.ti.ru.58701 > 233.49.170.47.5000: UDP, length 1316
15:53:28.176989 IP rtes3-v897.ti.ru.40005 > 233.49.170.68.5000: UDP, length 1316
15:53:28.177193 IP rtes3-v897.ti.ru.39949 > 233.49.170.12.5000: UDP, length 1316
15:53:28.177208 IP rtes3-v897.ti.ru.39973 > 233.49.170.50.5000: UDP, length 1316
15:53:28.177604 IP rtes1-v897.ti.ru.58741 > 233.49.170.10.5000: UDP, length 1316
...

отключаю сетку апплетом network manager - индикатор скорости показывает загрузку на томже уровне

fisher74 · « **Ответ #1 :** 14 Ноября 2011, 15:56:02 »

Цитата: amer от 14 Ноября 2011, 15:52:02

возможно качает из локалки и нетстат не показывает....

С каких это пор нетстат начал классифицировать траффик на локальный и нелокальный?

amer · « **Ответ #2 :** 14 Ноября 2011, 15:58:04 »

это как предположение было...
ну так куда рыть то?

Пользователь решил продолжить мысль 14 Ноября 2011, 22:08:26:

неужели никто не знает или я непонятно сформулировал проблему?

fisher74 · « **Ответ #3 :** 14 Ноября 2011, 22:25:54 »

Я Вам уже намекнул - смотрите netstat-ом кто кушает траффик, тем более видите, что по 5000 порту это происходит.

Гарри Кашпировский · « **Ответ #4 :** 14 Ноября 2011, 22:30:58 »

Мультикастом попахивает, однако.

amer · « **Ответ #5 :** 14 Ноября 2011, 23:04:44 »

cram@cram-home:~$ sudo cat /etc/services | grep 5000
cram@cram-home:~$ sudo netstat -anp | grep 5000
cram@cram-home:~$ sudo lsof -i | grep 5000
cram@cram-home:~$

Вы сильно не ругайтесь, но я не спец, а пользователь...
что можно еще придумать?

cram@cram-home:~$ sudo nmap -sT -O localhost

Starting Nmap 5.21 ( http://nmap.org ) at 2011-11-14 23:08 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000027s latency).
Hostname localhost resolves to 2 IPs. Only scanned 127.0.0.1
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 997 closed ports
PORT STATE SERVICE
631/tcp open ipp
3306/tcp open mysql
9103/tcp open jetdirect

Гарри Кашпировский · « **Ответ #6 :** 14 Ноября 2011, 23:12:47 »

еще UDP глянуть.
и не 5000-й порт, это порт назначения. А что-то вроде
netstat -nulp
mrouted, pimd, igmpproxy, что-то из этого стоит и настраивалось? IP-TV пытался настроить? Пока такие вопросы.

amer · « **Ответ #7 :** 14 Ноября 2011, 23:18:26 »

cram@cram-home:~$ sudo netstat -nulp
Активные соединения с интернетом (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:68 0.0.0.0:* 2910/dhclient

никаких прокси и тп не устанавливал...
к сожалению не заметил после чего все началось...

victor00000 · « **Ответ #8 :** 14 Ноября 2011, 23:31:40 »

Код: [Выделить]

mplayer udp://233.49.170.10:5000

amer · « **Ответ #9 :** 14 Ноября 2011, 23:59:17 »

mplayer не пользуюсь и в процессах не висит

в дампе нашел строчку:
23:40:57.065975 IP 46.72.206.162 > igmp.mcast.net: igmp v3 report, 1 group record(s)

никаккого ip-tv нету и не настраивал

victor00000 · « **Ответ #10 :** 15 Ноября 2011, 00:15:17 »

Код: [Выделить]

route -n

amer · « **Ответ #11 :** 15 Ноября 2011, 00:20:33 »

cram@cram-home:~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
46.72.192.0 0.0.0.0 255.255.224.0 U 1 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 46.72.192.1 0.0.0.0 UG 0 0 0 eth0

вторая строка смущает

если верить индикатору скорости то мой ip 46.72.203.193

victor00000 · « **Ответ #12 :** 15 Ноября 2011, 00:28:21 »

Код: [Выделить]

sudo route add 233.49.170.10 dev eth0

amer · « **Ответ #13 :** 15 Ноября 2011, 00:32:02 »

добавил
ничего не поменялось
убрал

victor00000 · « **Ответ #14 :** 15 Ноября 2011, 01:07:51 »

emcast 233.49.170.10:5000
emcast 233.49.170.10:5000 | hex

Пользователь решил продолжить мысль 15 Ноября 2011, 01:34:22:

ps aux | grep 5000

Форум русскоязычного сообщества Ubuntu

Автор Тема: непонятный трафик (Прочитано 2425 раз)

amer

непонятный трафик

fisher74

Re: непонятный трафик

amer

Re: непонятный трафик

fisher74

Re: непонятный трафик

Гарри Кашпировский

Re: непонятный трафик

amer

Re: непонятный трафик

Гарри Кашпировский

Re: непонятный трафик

amer

Re: непонятный трафик

victor00000

Re: непонятный трафик

amer

Re: непонятный трафик

victor00000

Re: непонятный трафик

amer

Re: непонятный трафик

victor00000

Re: непонятный трафик

amer

Re: непонятный трафик

victor00000

Re: непонятный трафик