Страница 1 из 1
Подозрительный трафик
Добавлено: 12 май 2015, 14:56
Arbichev
Здравствуйте!
Имею ROSA Desktop Fresh R5 64-bit со всеми обновлениями на 6 мая этого года.
Подключение к интернету через 4G модем Huawei E3272.
Оператор Мегафон.
Около двух недель замечаю, что при банальном серфе в интернете исходящий трафик
в несколько раз превосходит входящий.
Для примера выкладываю скриншот Knemo.
Ни по каким порнушным и вообще незнакомым сайтам не хожу.
Как определить, кто генерирует дополнительный исходящий трафик.
Фаервол включен. Настройки по умолчанию.
Re: Подозрительный трафик
Добавлено: 12 май 2015, 15:04
keleg
Скайп?
Re: Подозрительный трафик
Добавлено: 12 май 2015, 15:09
Barmalei
keleg писал(а):Скайп?
Без видео общения такого не может быть от него в фоновом режиме.
Re: Подозрительный трафик
Добавлено: 12 май 2015, 15:22
Arbichev
Скайпа на этом ноуте нет в принципе.
Re: Подозрительный трафик
Добавлено: 12 май 2015, 18:30
DELTA-79
А где вообще предпочитаете сёрфить? не только скайп кушает исходящий трафик.
Re: Подозрительный трафик
Добавлено: 12 май 2015, 18:32
PastorDi
Я вот что-то не наблюдал за трафиком такое.
Попробуйте
запустить и в нем посмотреть. Какие он цифры показывает?
Может касяк в Knemo? Если и там то же самое. Возможно что-то флудит в сеть, возможно драйвер сетевухи (было такое), может еще то-то...
Можете еще поставить тулзу, которая покажет вам кто ест сетевой трафик по процессам.
Описание здесь:
http://zenway.ru/page/nethogs
Re: Подозрительный трафик
Добавлено: 12 май 2015, 20:18
Arbichev
Пишу с другого ПК. На том ноутбуке при попытке зайти на сайт rosalab.ru в ответ получаю
Я думаю, что это уже серьезно.
Re: Подозрительный трафик
Добавлено: 12 май 2015, 20:25
DELTA-79
Arbichev писал(а):Пишу с другого ПК. На том ноутбуке при попытке зайти на сайт rosalab.ru в ответ получаю
mega1.png
Я думаю, что это уже серьезно.
У меня это тоже было минут 15, потом пропустил. Переведите текст, там пишут о том, что много посетителей сегодня.
Re: Подозрительный трафик
Добавлено: 12 май 2015, 22:15
PastorDi
Arbichev писал(а):Пишу с другого ПК. На том ноутбуке при попытке зайти на сайт rosalab.ru в ответ получаю
Я думаю, что это уже серьезно.
Уже давно все починили, база sql видимо сглючило, либо кто-то флудил в базу. Забудьте про это. Уже все работает.
Re: Подозрительный трафик
Добавлено: 13 май 2015, 09:21
Arbichev
Новая информация к размышлению.
Этот модем Huawei при включении ноутбука может определяться либо как ppp0, либо как wwan0 - совершенно
случайным образом. Так вот, если он определился как wwan0, то генерируется большой исходящий трафик,
как показано на вчерашних скриншотах.
Если он определился как ppp0, то все так, как и должно быть - на данный момент "Принято 13.9 Миб, передано 1.3 Миб"
сообщает нетворкманагер.
Сегодня при включении ноутбука он определился как ррр0.
Но ведь чудес не бывает?
Re: Подозрительный трафик
Добавлено: 13 май 2015, 09:43
Arbichev
Сейчас и утилита nethogs не показывает ничего подозрительного
Re: Подозрительный трафик
Добавлено: 13 май 2015, 15:06
Arbichev
Перезагрузил ноутбук. Модем определился как wwan0. Через пару часов работы "Принято 16.5 МиБ, Передано 39.4 МиБ.
Скриншот прилагается
Re: Подозрительный трафик
Добавлено: 13 май 2015, 15:17
Barmalei
Попробуйте коннектится через KPPP, он создает вроде все время ppp0.
А сейчас через что идет коннект?
Re: Подозрительный трафик
Добавлено: 13 май 2015, 15:48
Arbichev
Через Модемманагер.
Re: Подозрительный трафик
Добавлено: 13 май 2015, 15:50
Barmalei
Arbichev писал(а):Через Модемманагер.
Какой? Я чет не видел. Network Manager видел.
Re: Подозрительный трафик
Добавлено: 14 май 2015, 10:12
Arbichev
Да, я ошибся, конечно нетворкманагер.
Re: Подозрительный трафик
Добавлено: 14 май 2015, 11:45
Arbichev
Сегодня с утра модем определился как ppp0, поэтому трафик выглядит классически.
Re: Подозрительный трафик
Добавлено: 14 май 2015, 22:50
notauser
http://unix.stackexchange.com/questions ... 0-vs-wwan0
sudo iftop -i wwan0
> Через Модемманагер.
Именно он и должен решать, что скормить NM
Re: Подозрительный трафик
Добавлено: 15 май 2015, 10:50
Arbichev
Извините за ламерство, но
Код: Выделить всё
[root@Lenovo-G550 admin]# iftop -i wwan0
bash: iftop: команда не найдена
[root@Lenovo-G550 admin]#
Re: Подозрительный трафик
Добавлено: 15 май 2015, 11:03
viktor
Re: Подозрительный трафик
Добавлено: 15 май 2015, 11:27
Arbichev
Докладываю. Если браузер не запущен, то никакого подозрительного трафика не наблюдается
Если запускаю браузер Firefox, то начинается бешеный трафик
Теперь вопрос, как это побороть?
Re: Подозрительный трафик
Добавлено: 15 май 2015, 11:34
keleg
Браузер огнелис? Какие расширения стоят?
Re: Подозрительный трафик
Добавлено: 15 май 2015, 11:48
Arbichev
Стоят:
1.Видеокодек OpenH264
2.Shockwave Flash
3.Skype Buttons for Kopete
4.UnMHT
Re: Подозрительный трафик
Добавлено: 15 май 2015, 12:43
keleg
Может, какой вирус для огнелиса поймали?
Re: Подозрительный трафик
Добавлено: 15 май 2015, 12:50
Галахов Роман
А данная функция выключена?
Может она трафик тянет?
Re: Подозрительный трафик
Добавлено: 15 май 2015, 13:01
Barmalei
В 38 FF уже по другому выглядет.
Re: Подозрительный трафик
Добавлено: 15 май 2015, 13:38
Arbichev
Отправка была включена, сейчас ее отключил.
Re: Подозрительный трафик
Добавлено: 15 май 2015, 15:21
PastorDi
Написать разрабам Firefox и Google, чтобы не собирали никакой инфы с компьютера.
То, что вы отключили, все равно не поможет. FF и Хром всеравно отправлять будут траф. Там куча серверов у них, я пытался как-то блокировать ip адреса, но бесполезно, из там тысячи... Ничего тут не сделаешь.
Хотя можно немного пошаманить, но...
На картинке, посмотрите, поотключайте там все что можно (не так как на картинке - это пример где искать). Чтоб не долбился. Может уменьшится траф. Не думаю что сильно.
Да, еще отключить в FF антифишинг, анти....что-то еще.
Я
вот тут писал как можно блочить рекламку с промщью прокси, можете попробовать. Забить туда все адреса, по которым долбится, и попробовать. Может еще подсократит траф.
Re: Подозрительный трафик
Добавлено: 15 май 2015, 17:14
notauser
Arbichev, модем как "определился" ? Как wwan0?
Была проблема TX>RX при wwan0 примерно в 2 раза?
iftop что показывает?
Делаем выводы.
P.S. А по поводу всего остального - вот такой он "internet", хотя может быть вы предпочтёте uucp.
P.P.S. Проверьте что это за ip, может захотите сменить стартовую страницу и DNS.
Re: Подозрительный трафик
Добавлено: 19 май 2015, 10:40
Arbichev
Посылаю две выдачи dmesg: в одном случае модем определился как wwan0, в другом случае как ррр0.
Почему так получается - не понимаю.
Код: Выделить всё
модем подключен после загрузки ОС (определился как wwan0)
123.877192] usb 2-2: new high-speed USB device number 5 using ehci-pci
[ 123.993153] usb 2-2: New USB device found, idVendor=12d1, idProduct=14fe
[ 123.993165] usb 2-2: New USB device strings: Mfr=2, Product=1, SerialNumber=4
[ 123.993173] usb 2-2: Product: HUAWEI Mobile
[ 123.993179] usb 2-2: Manufacturer: HUAWEI Technology
[ 123.993185] usb 2-2: SerialNumber: FFFFFFFFFFFFFFFF
[ 124.049519] usb-storage 2-2:1.0: USB Mass Storage device detected
[ 124.049601] scsi5 : usb-storage 2-2:1.0
[ 124.049924] usbcore: registered new interface driver usb-storage
[ 124.598971] usb 2-2: USB disconnect, device number 5
[ 124.961495] usb 2-2: new high-speed USB device number 6 using ehci-pci
[ 125.077094] usb 2-2: New USB device found, idVendor=12d1, idProduct=1506
[ 125.077106] usb 2-2: New USB device strings: Mfr=2, Product=1, SerialNumber=0
[ 125.077114] usb 2-2: Product: HUAWEI Mobile
[ 125.077120] usb 2-2: Manufacturer: HUAWEI Technology
[ 125.079881] usb-storage 2-2:1.3: USB Mass Storage device detected
[ 125.080484] scsi6 : usb-storage 2-2:1.3
[ 125.080852] usb-storage 2-2:1.4: USB Mass Storage device detected
[ 125.081543] scsi7 : usb-storage 2-2:1.4
[ 125.142925] usbcore: registered new interface driver cdc_ncm
[ 125.146207] usbcore: registered new interface driver cdc_wdm
[ 125.155459] usbcore: registered new interface driver usbserial
[ 125.155475] usbcore: registered new interface driver usbserial_generic
[ 125.155487] usbserial: USB Serial support registered for generic
[ 125.158647] huawei_cdc_ncm 2-2:1.2: MAC-Address: 0c:5b:8f:27:9a:64
[ 125.158758] huawei_cdc_ncm 2-2:1.2: cdc-wdm0: USB WDM device
[ 125.158992] huawei_cdc_ncm 2-2:1.2 wwan0: register 'huawei_cdc_ncm' at usb-0000:00:1d.7-2, Huawei CDC NCM device, 0c:5b:8f:27:9a:64
[ 125.159058] usbcore: registered new interface driver huawei_cdc_ncm
[ 125.161670] usbcore: registered new interface driver option
[ 125.161686] usbserial: USB Serial support registered for GSM modem (1-port)
[ 125.161808] option 2-2:1.0: GSM modem (1-port) converter detected
[ 125.163974] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0
[ 125.164031] option 2-2:1.1: GSM modem (1-port) converter detected
[ 125.164153] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1
[ 126.083356] scsi 6:0:0:0: CD-ROM HUAWEI Mass Storage 2.31 PQ: 0 ANSI: 2
[ 126.084906] scsi 7:0:0:0: Direct-Access HUAWEI TF CARD Storage 2.31 PQ: 0 ANSI: 2
[ 126.085773] sd 7:0:0:0: [sdc] 7745536 512-byte logical blocks: (3.96 GB/3.69 GiB)
[ 126.086397] sd 7:0:0:0: [sdc] Write Protect is off
[ 126.086401] sd 7:0:0:0: [sdc] Mode Sense: 0f 00 00 00
[ 126.087115] sd 7:0:0:0: [sdc] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[ 126.092285] sdc: sdc1
[ 126.095027] sd 7:0:0:0: [sdc] Attached SCSI removable disk
[ 126.107520] sr0: scsi-1 drive
[ 126.107524] cdrom: Uniform CD-ROM driver Revision: 3.20
[ 126.107666] sr 6:0:0:0: Attached scsi CD-ROM sr0
[admin@Lenovo-G550 ~]$
модем подключен до включения ПК (определился как ррр0)
6.747060] usb 2-2: new high-speed USB device number 6 using ehci-pci
[ 6.862145] usb 2-2: New USB device found, idVendor=12d1, idProduct=1506
[ 6.862150] usb 2-2: New USB device strings: Mfr=2, Product=1, SerialNumber=0
[ 6.862152] usb 2-2: Product: HUAWEI Mobile
[ 6.862154] usb 2-2: Manufacturer: HUAWEI Technology
[ 6.865068] usb-storage 2-2:1.3: USB Mass Storage device detected
[ 6.868990] scsi6 : usb-storage 2-2:1.3
[ 6.869126] usb-storage 2-2:1.4: USB Mass Storage device detected
[ 6.873937] scsi7 : usb-storage 2-2:1.4
[ 7.064270] i2400m_usb 2-4:1.0: WiMAX interface wmx0 (00:1d:e1:18:13:97) ready
[ 7.563611] iTCO_vendor_support: vendor-support=0
[ 7.565157] iTCO_wdt: Intel TCO WatchDog Timer Driver v1.10
[ 7.565198] iTCO_wdt: Found a ICH9M TCO device (Version=2, TCOBASE=0x0460)
[ 7.565756] iTCO_wdt: initialized. heartbeat=30 sec (nowayout=1)
[ 7.636592] cfg80211: World regulatory domain updated:
[ 7.636596] cfg80211: DFS Master region: unset
[ 7.636597] cfg80211: (start_freq - end_freq @ bandwidth), (max_antenna_gain, max_eirp)
[ 7.636599] cfg80211: (2402000 KHz - 2472000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[ 7.636601] cfg80211: (2457000 KHz - 2482000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[ 7.636602] cfg80211: (2474000 KHz - 2494000 KHz @ 20000 KHz), (N/A, 2000 mBm)
[ 7.636604] cfg80211: (5170000 KHz - 5250000 KHz @ 80000 KHz), (N/A, 2000 mBm)
[ 7.636605] cfg80211: (5250000 KHz - 5330000 KHz @ 80000 KHz), (N/A, 2000 mBm)
[ 7.636607] cfg80211: (5490000 KHz - 5730000 KHz @ 160000 KHz), (N/A, 2000 mBm)
[ 7.636608] cfg80211: (5735000 KHz - 5835000 KHz @ 80000 KHz), (N/A, 2000 mBm)
[ 7.636610] cfg80211: (57240000 KHz - 63720000 KHz @ 2160000 KHz), (N/A, 0 mBm)
[ 7.756099] cfg80211: Calling CRDA for country: RU
[ 7.794284] XFS (sdb1): Ending recovery (logdev: internal)
[ 7.803625] systemd-journald[398]: Received request to flush runtime journal from PID 1
[ 7.873569] scsi 6:0:0:0: CD-ROM HUAWEI Mass Storage 2.31 PQ: 0 ANSI: 2
[ 7.876529] scsi 7:0:0:0: Direct-Access HUAWEI TF CARD Storage 2.31 PQ: 0 ANSI: 2
[ 7.877275] sd 7:0:0:0: [sdc] 7745536 512-byte logical blocks: (3.96 GB/3.69 GiB)
[ 7.877897] sd 7:0:0:0: [sdc] Write Protect is off
[ 7.877900] sd 7:0:0:0: [sdc] Mode Sense: 0f 00 00 00
[ 7.878523] sd 7:0:0:0: [sdc] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[ 7.883535] sdc: sdc1
[ 7.886453] sd 7:0:0:0: [sdc] Attached SCSI removable disk
[ 7.993308] vboxguest: PCI device not found, probably running on physical hardware.
[ 8.418842] tg3 0000:07:00.0: irq 50 for MSI/MSI-X
[ 8.453539] IPv6: ADDRCONF(NETDEV_UP): eth0: link is not ready
[ 8.527792] usbcore: registered new interface driver usbserial
[ 8.527873] usbcore: registered new interface driver usbserial_generic
[ 8.527951] usbserial: USB Serial support registered for generic
[ 8.545854] usbcore: registered new interface driver option
[ 8.545939] usbserial: USB Serial support registered for GSM modem (1-port)
[ 8.546263] option 2-2:1.0: GSM modem (1-port) converter detected
[ 8.549515] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0
[ 8.549649] option 2-2:1.1: GSM modem (1-port) converter detected
[ 8.551000] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1
[ 8.593305] option 2-2:1.2: GSM modem (1-port) converter detected
[ 8.629788] cfg80211: Regulatory domain changed to country: RU
[ 8.629792] cfg80211: DFS Master region: ETSI
[ 8.629793] cfg80211: (start_freq - end_freq @ bandwidth), (max_antenna_gain, max_eirp)
[ 8.629795] cfg80211: (2402000 KHz - 2482000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[ 8.629797] cfg80211: (5170000 KHz - 5250000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[ 8.629798] cfg80211: (5250000 KHz - 5330000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[ 8.629800] cfg80211: (5650000 KHz - 5730000 KHz @ 40000 KHz), (N/A, 3000 mBm)
[ 8.629801] cfg80211: (5735000 KHz - 5835000 KHz @ 40000 KHz), (N/A, 3000 mBm)
[ 9.507791] i2400m_usb 2-4:1.0: firmware interface version 9.3.2
[ 9.515723] usbcore: registered new interface driver i2400m_usb
[ 9.689318] usbcore: registered new interface driver cdc_ncm
[ 9.691082] usbcore: registered new interface driver cdc_wdm
[ 9.692134] usbcore: registered new interface driver huawei_cdc_ncm
[ 9.827319] sr0: scsi-1 drive
[ 9.827326] cdrom: Uniform CD-ROM driver Revision: 3.20
[ 9.828342] sr 6:0:0:0: Attached scsi CD-ROM sr0
[ 14.034045] PPP generic driver version 2.4.2
[ 14.034752] NET: Registered protocol family 24
[ 14.043725] l2tp_core: L2TP core driver, V2.0
[ 14.050749] l2tp_ppp: PPPoL2TP kernel driver, V2.0
[ 22.245970] PPP BSD Compression module registered
[ 22.251338] PPP Deflate Compression module registered
[ 22.477251] NET: Registered protocol family 17
[ 540.381286] Bluetooth: Core ver 2.18
[ 540.381306] NET: Registered protocol family 31
[ 540.381307] Bluetooth: HCI device and connection manager initialized
[ 540.381315] Bluetooth: HCI socket layer initialized
[ 540.381316] Bluetooth: L2CAP socket layer initialized
[ 540.381327] Bluetooth: SCO socket layer initialized
[ 540.393103] Bluetooth: BNEP (Ethernet Emulation) ver 1.3
[ 540.393107] Bluetooth: BNEP filters: protocol multicast
[ 540.393116] Bluetooth: BNEP socket layer initialized
[root@Lenovo-G550 admin]#
Re: Подозрительный трафик
Добавлено: 19 май 2015, 11:09
PastorDi
Куски логов, как-то не все видно.
Вы по другому сделайте. Загрузитесь, воткните мопед, подождите 2минуты (пока подключится), сделайте hw-probe. Потом выключите комп, воткните мопед, загрузитесь, сделайте hw-probe. У вас будет 2 пробы. Обе ссылки сюда кидайте, напишите какая при каком сценарии. И будем тогда смотреть.
Подозрительный трафик
Добавлено: 19 май 2015, 12:23
Arbichev
Cделал hw-probe когда модем определился как ррр0, ссылка:
https://linux-hardware.org/?probe=105147ae40
Подозрительный трафик
Добавлено: 19 май 2015, 12:31
Arbichev
Второй вариант-сначала включил ПК, потом подключил модем (определился как wwan0)
https://linux-hardware.org/?probe=c8ee800b21
Re: Подозрительный трафик
Добавлено: 19 май 2015, 13:13
Barmalei
Когда ppp0 есть
cdrom usb_storage Huawei Technologies Co., Ltd. Modem/Networkcard
Когда wwan0 к этому есть еще вот это
modem AT Modem
Re: Подозрительный трафик
Добавлено: 19 май 2015, 16:53
notauser
>> Через Модемманагер.
>Именно он и должен решать, что скормить NM
>Была проблема TX>RX при wwan0 примерно в 2 раза?
>iftop что показывает?
>Посылаю две выдачи dmesg:
Вы что-то не поняли или поговорить?
Хотелось бы увидеть выхлоп iftop при активном в NM wwan0 и ppp0
Re: Подозрительный трафик
Добавлено: 20 май 2015, 09:21
Arbichev
Сегодня при включении ПК модем определился как ppp0.
Сейчас запущена только Opera.
Посылаю выхлоп iftop на интерфейсе ppp0.
Re: Подозрительный трафик
Добавлено: 22 май 2015, 14:05
Arbichev
Еще раз хочу четко сформулировать вопросы, на которые не могу найти ответа:
1.Почему модем один раз инициализируется как интерфейс ppp0, а другой раз - как wwan0,
при одинаковых начальных условиях?
2.Почему при инициализации в качестве ppp0 соотношение между входящим и исходящим
трафиками классическое, а при инициализации в качестве wwan0 исходящий трафик
в 2...3 раза превосходит входящий?
Re: Подозрительный трафик
Добавлено: 22 май 2015, 16:21
Barmalei
Мне кажется что wwan0 он работает в режиме сетевой карты, а ppp0 в режиме модем.
Отсюда и трафик наверное сетевой какой то.
Переведите его в режим только модем.
Re: Подозрительный трафик
Добавлено: 22 май 2015, 16:55
PastorDi
Barmalei писал(а):Мне кажется что wwan0 он работает в режиме сетевой карты, а ppp0 в режиме модем.
Отсюда и трафик наверное сетевой какой то.
Переведите его в режим только модем.
Тут
http://unix.stackexchange.com/questions ... 0-vs-wwan0 написано в чём разница между wwan0 и ppp0.
Re: Подозрительный трафик
Добавлено: 05 июн 2015, 12:33
Arbichev
Вот посмотрите статистику.
Я не понимаю, в какое АНБ я отправил почти Гиг трафика.
У кого-нибудь такое наблюдается?
Re: Подозрительный трафик
Добавлено: 05 июн 2015, 14:09
VictorR2007
Arbichev писал(а):Я не понимаю, в какое АНБ я отправил почти Гиг трафика.
У кого-нибудь такое наблюдается?
Да, у меня такое постоянно.
Если запущен медиа сервер, и просматриваю файлы на ТВ.
Так же, когда торрент на раздаче.
Приложу картинку, где запустил просмотр видео на телевизоре.
З.Ы.
Чтобы было меньше исходящего трафика, я устанавливаю плагин
ghostery для firefox.
Он блокирует отправку информации с компа.
Re: Подозрительный трафик
Добавлено: 05 июн 2015, 15:55
Arbichev
Я понимаю, о чем вы говорите. Но у меня медиасервер не запущен,
торренты не запущены, вообще кроме браузера ничего такого, что должно лезть в сеть, не запущено.
А исходящий трафик все-равно прет.
Re: Подозрительный трафик
Добавлено: 05 июн 2015, 18:52
PastorDi
Arbichev писал(а):Я понимаю, о чем вы говорите. Но у меня медиасервер не запущен,
торренты не запущены, вообще кроме браузера ничего такого, что должно лезть в сеть, не запущено.
А исходящий трафик все-равно прет.
Может и драйвер сетевухи флудит. Были такие прецеденты когда-то.