nethogs를 실행할 때 수백 개의 서로 다른 연결이 동일한 IP 및 포트로 스크롤되는 것을 볼 수 있습니다. 때때로 외부 IP와 포트가 변경됩니다(항상 80은 아니지만 가끔 변경됩니다). 이러한 엄청난 연결 버스트가 발생하면 내 라우터 CPU 사용량이 100%로 급증하므로 이 엄청난 급증으로 인해 라우터에 지속적으로 과부하가 걸리고 최대 60초 동안 네트워크가 중단되는 원인이 된다고 확신합니다.
내가 시도한 것들:
sudo netstat -tulpn | grep $whateverip: 아무것도 없다sudo netstat --inet -ap | grep $whateverip: 아무것도 없다sudo lsof -i | grep $whateverport: 이 작업이 완료되면 포트와 IP가 다시 변경됩니다.
이것은 편집증일 수도 있지만 연결, 포트 및 IP 변경에 대한 추가 정보를 파헤치려고 할 때마다 그런 것 같아서 내 명령은 아무 것도 제공하지 않습니다.
서버에 존재하는 사악한 것을 처리하고 있습니까? 아니면 제한된 네트워크 지식으로 인해 좀 더 좋은 설명이 누락된 걸까요?
또한 이것은 UI가 없는 Ubuntu 서버이므로 Reddit을 검색하는 사람을 쫓는 것과는 다릅니다.
답변1
나는 같은 문제를 가지고있다. 이 문제는 다음 명령을 입력하여 문제의 IP로 나가는 트래픽을 필터링하여 일시적으로 해결되었습니다.
sudo iptables -A OUTPUT -d <ip-adress>/24 -j DROP
sudo iptables-save
"/24"는 IP 주소의 처음 세 자리만 고려한다는 의미입니다. 문제는 계속해서 새로운 IP 주소를 반환한다는 것입니다. 이제 iptables에 그러한 라인 12개를 추가했습니다. 홍수가 발생한 지 몇 시간이 지났지만 내일 아침에도 그런 일이 일어날 것으로 예상됩니다. 나에게는 밤/이른 아침(CET)에 더욱 심해지는 것 같습니다. 전부는 아니지만 대부분은 중국에 있습니다. 이 기사가 관련성이 있다고 생각하지만 확실하지 않습니다.
http://www.michael-joost.de/dnsterror.html
알아내면 알려주세요. 다음으로 루트 계정의 비밀번호를 변경해 보고 도움이 되는지 확인해 보겠습니다.
답변2
반드시 사용해야 하는 프로세스를 결정 sudo하고 -np사용해야 합니다.
sudo netstat -np | grep <ip>
--numeric, -n 기호 호스트, 포트 또는 사용자 이름을 확인하는 대신 숫자 주소를 표시합니다.
IP 주소 확인이 필요하지 않기 때문에 이것이 바로 여러분이 원하는 것입니다.
하지만 당신은 그것이 어떤 프로그램인지 알고 싶습니다
-p, --program 각 소켓이 속한 프로그램의 PID와 이름을 표시합니다.