Ubuntu - как узнать что качает интернет?

[elibri]

Пользуюсь Ubuntu Lucid Lynx. Есть подозрение, что какая-то прога качает интернет. Это подтвердил провайдер - сказал, что большой исходящий трафик (было более 500 Мб за вечер), а также косвенно можно судить о скорости серфинга в интернете с Ubuntu и скорости серфинга соседнего ПК на Windows, который по Wi-Fi подключен к тому-же роутеру. Т.е. пока оба ПК работают на Windows (у меня 2я ОСь Win7 стоит) - все нормально, как только я переключаюсь на Ubuntu - начинаются проблемы с сетью.

В системном мониторе отображается входящий трафик 2-3 Бит\сек (ну или что-то подобное), а исходящий в этот момент 100-150 Бит\сек. Не подумайте, что я забыл выключить Transmission или что-то подобное.

Так вот, посоветуйте пож-та программу с GUI, которая могла бы показать, кто и сколько реально качает на компе. Установил Wireshark, но он не для моего уровня - я пакеты читать ее умею. Желательно попроще, чтобы легко можно было установить и легко использовать.

[vasyl]

netstat -pt?

[elibri]

Спасибо, попробую. А еще варианты есть? Так, чтобы в каком-то временном срезе - запустить мониторинг и пусть он считает кто что делает.

[fisher74]

Жалоба именно на исходящий траффик?
И боюсь, что даже 100-150 БИТ/c (тем более исходящего траффика) на серфинге не будет заметно, если конечно у вас не DialUP соединение на дрянной линии.
Если, всё-таки, траффик входящий, то, как вариант, автоматическое обновление играет плохую шутку.
Посмотрите в в /var/log/apt/history.log, может там найдутся ответы

[elibri]

Спасибо, посмотрим и там. Но показатели системного монитора не путаю, так и есть.
Пользователь решил продолжить мысль 10 Октября 2010, 22:19:38:

netstat -pt?

Вот результат netstat.

Активные соединения с интернетом (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 dvydrin-laptop.lo:54438 s2.ubuntu.ru:www        ESTABLISHED 1928/firefox-bin
tcp        0      0 dvydrin-laptop.lo:59951 208.43.202.14:www       ESTABLISHED 1524/dropbox   
tcp        0      0 dvydrin-laptop.lo:56175 173.194.35.104:www      ESTABLISHED 1928/firefox-bin
tcp        0      0 dvydrin-laptop.lo:56176 173.194.35.104:www      ESTABLISHED 1928/firefox-bin
tcp       38      0 dvydrin-laptop.lo:39794 174.37.10.135-sta:https CLOSE_WAIT  1524/dropbox   
tcp        0      0 dvydrin-laptop.lo:44244 s2.ubuntu.ru:www        ESTABLISHED 1928/firefox-bin
tcp        0      0 dvydrin-laptop.lo:44243 s2.ubuntu.ru:www        ESTABLISHED 1928/firefox-bin
tcp       38      0 dvydrin-laptop.lo:49187 174.36.30.90:https      CLOSE_WAIT  1524/dropbox 

Ничего особенного в нем не вижу или просто не умею его читать. :-)
Пользователь решил продолжить мысль 10 Октября 2010, 22:41:50:

Жалоба именно на исходящий траффик?
И боюсь, что даже 100-150 БИТ/c (тем более исходящего траффика) на серфинге не будет заметно, если конечно у вас не DialUP соединение на дрянной линии.
Если, всё-таки, траффик входящий, то, как вариант, автоматическое обновление играет плохую шутку.
Посмотрите в в /var/log/apt/history.log, может там найдутся ответы

Трафик исходящий, вот как во времени можно отразить:

1. интернет не подключен


2. первые 30-60 секунд подключения


3. через пару минут (уже видно, что исходящий траф превысил входящий на порядок)


4. через 15 минут работы (без запуска каких-либо программ)

Пользователь решил продолжить мысль 10 Октября 2010, 22:44:15:Куда ушло 77 метров и самое главное - чего?

PS: при этом серфинг тормозит ужасно, чтобы выложить скриншоты, пришлось перегружаться на Windows!

[Lynxx]

iptraf поможет.

[fisher74]

Средства уже подсказали. Дальнейшее обсуждение будет больше похоже на гадание на кофейной гуще.

P.S. Может Вы какое онлайн хранилище задействовали, вот туда и сливается траффик.

[elibri]

Результаты netstat я показал. Может, кто-то прокомментирует?

Что касается онлайн хранилища - да, dropbox и ubuntu one. Но я в этот момент никаких действий с файлами не произвожу, поэтому сливать нечего. Да и канал зависает сильно, очень трудно страницы обновлять.

[Mam(O)n]

Мало netstat'a

Показывай, что говорит sudo tcpdump -ni any во время бездействия, когда генерируется паразитный трафик. Закрой при этом все файрфоксы и прочие программы, работающие с сетью.

[elibri]

Вот что-то типа такого получается:

20:11:15.623275 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3243537, win 978, options [nop,nop,TS val 601326796 ecr 69128], length 0
20:11:15.623290 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3270075:3271515, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326796], length 1440
20:11:15.623811 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3244977, win 978, options [nop,nop,TS val 601326810 ecr 69128], length 0
20:11:15.623823 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3271515:3272955, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326810], length 1440
20:11:15.623831 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3272955:3274395, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326810], length 1440
20:11:15.623960 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3246417, win 978, options [nop,nop,TS val 601326826 ecr 69128], length 0
20:11:15.623972 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3274395:3275835, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326826], length 1440
20:11:15.624100 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3247857, win 978, options [nop,nop,TS val 601326840 ecr 69128], length 0
20:11:15.624112 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3275835:3277275, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326840], length 1440
20:11:15.624120 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3277275:3278715, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326840], length 1440
20:11:15.624994 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3248475, win 978, options [nop,nop,TS val 601326848 ecr 69128], length 0
20:11:15.625005 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3278715:3280155, ack 74, win 182, options [nop,nop,TS val 69287 ecr 601326848], length 1440
20:11:15.625213 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3249915, win 978, options [nop,nop,TS val 601326862 ecr 69128], length 0
20:11:15.625225 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3280155:3281595, ack 74, win 182, options [nop,nop,TS val 69288 ecr 601326862], length 1440
20:11:15.625233 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3281595:3283035, ack 74, win 182, options [nop,nop,TS val 69288 ecr 601326862], length 1440
20:11:15.855437 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3251355, win 978, options [nop,nop,TS val 601326968 ecr 69234], length 0
20:11:15.855482 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3283035:3284475, ack 74, win 182, options [nop,nop,TS val 69345 ecr 601326968], length 1440
20:11:15.857613 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3252795, win 978, options [nop,nop,TS val 601326986 ecr 69234], length 0
20:11:15.857635 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3284475:3285915, ack 74, win 182, options [nop,nop,TS val 69346 ecr 601326986], length 1440
20:11:15.857650 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3285915:3287355, ack 74, win 182, options [nop,nop,TS val 69346 ecr 601326986], length 1440
20:11:15.857886 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3254235, win 978, options [nop,nop,TS val 601327000 ecr 69234], length 0
20:11:15.857907 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3287355:3288795, ack 74, win 182, options [nop,nop,TS val 69346 ecr 601327000], length 1440
20:11:15.858634 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3255675, win 978, options [nop,nop,TS val 601327054 ecr 69234], length 0
20:11:15.858659 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3288795:3290235, ack 74, win 182, options [nop,nop,TS val 69346 ecr 601327054], length 1440
20:11:15.858674 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3290235:3291675, ack 74, win 182, options [nop,nop,TS val 69346 ecr 601327054], length 1440
20:11:16.095067 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3258555, win 978, options [nop,nop,TS val 601327189 ecr 69285], length 0
20:11:16.095092 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3291675:3293115, ack 74, win 182, options [nop,nop,TS val 69405 ecr 601327189], length 1440
20:11:16.095103 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3293115:3294555, ack 74, win 182, options [nop,nop,TS val 69405 ecr 601327189], length 1440
20:11:16.095273 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3261435, win 978, options [nop,nop,TS val 601327220 ecr 69285], length 0
20:11:16.095285 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3294555:3295995, ack 74, win 182, options [nop,nop,TS val 69405 ecr 601327220], length 1440
20:11:16.095293 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [.], seq 3295995:3297435, ack 74, win 182, options [nop,nop,TS val 69405 ecr 601327220], length 1440
20:11:16.095299 IP 192.168.1.4.60991 > 174.129.241.144.443: Flags [P.], seq 3297435:3297561, ack 74, win 182, options [nop,nop,TS val 69405 ecr 601327220], length 126
20:11:16.100273 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3264315, win 978, options [nop,nop,TS val 601327250 ecr 69285], length 0
20:11:16.101136 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3267195, win 978, options [nop,nop,TS val 601327279 ecr 69286], length 0
20:11:16.102545 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3270075, win 978, options [nop,nop,TS val 601327310 ecr 69286], length 0
20:11:16.102729 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3272955, win 978, options [nop,nop,TS val 601327340 ecr 69287], length 0
20:11:16.102907 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3275835, win 978, options [nop,nop,TS val 601327372 ecr 69287], length 0
20:11:16.334190 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3278715, win 978, options [nop,nop,TS val 601327441 ecr 69287], length 0
20:11:16.334409 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3281595, win 978, options [nop,nop,TS val 601327444 ecr 69287], length 0
20:11:16.334630 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3284475, win 978, options [nop,nop,TS val 601327464 ecr 69288], length 0
20:11:16.334853 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3287355, win 978, options [nop,nop,TS val 601327494 ecr 69346], length 0
20:11:16.335072 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3290235, win 978, options [nop,nop,TS val 601327525 ecr 69346], length 0
20:11:16.335296 IP 174.129.241.144.443 > 192.168.1.4.60991: Flags [.], ack 3291675, win 978, options [nop,nop,TS val 601327580 ecr 69346], length 0

[Durman]

$ nslookup 174.129.241.144
Non-authoritative answer:
144.241.129.174.in-addr.arpa   name = ec2-174-129-241-144.compute-1.amazonaws.com.

Посмотри кто на 443 порт юзает:

netstat -naple |grep ":443"

А потом для нормальной работы задропай исходящие на этот адрес пакеты:
# iptables -A OUTPUT -d 174.129.241.144 -j DROP

О результатах сообщи, интересно жеж =)

[fisher74]

странно, что этот траффтк netstat не ловит.... или его не вовремя включали

[Durman]

Вот так будет показывать почти онлайн(интервал 2 сек по умолчанию):

Код: [Выделить]

$ watch "netstat -naple |grep ":443""

[fisher74]

Эммм... я тут погуглил и попробовал вот так сделать:

$ telnet fs-1.ubuntuone.com 443
Trying 174.129.241.144...
Connected to fs-1.ubuntuone.com.
Escape character is '^]'.

Ни на что не намекая .....

[Durman]

глобальный убунтовский ботнет? =)