найти кто грузит сеть
есть веб сервер на центос7
nload на интерфейсе с ип сервера показывает стабильную большую входящую загрузку 25 мб\с
запускал nethogs, но он показывает другую общую скорость
плюс непонятные процессы такого формата
? root ип сервера:59212-104.25.27.103:80 0.280 15.793 KB/sec
перегружал сервер но сразу после ребута опять начинается скачивание
как найти виновника?
kommersant ★★
20.09.19 22:01:13 MSK
netstat -nlpa | grep 59212
Deleted
( 20.09.19 22:10:43 MSK )
Ответ на: комментарий от Deleted 20.09.19 22:10:43 MSK
не показывает имя процесса
выводит
tcp 0 0 мой ип:51930 67.219.147.82:80 TIME_WAIT —
kommersant ★★
( 20.09.19 22:18:54 MSK ) автор топика
Твой докер хакнули и теперь он качает биткойны
anonymous
( 20.09.19 22:20:47 MSK )
Ответ на: комментарий от anonymous 20.09.19 22:20:47 MSK
Deleted
( 20.09.19 22:26:41 MSK )
Ответ на: комментарий от Deleted 20.09.19 22:26:41 MSK
если хакнули то как увидеть какой процесс качает?
kommersant ★★
( 20.09.19 23:50:34 MSK ) автор топика
Ответ на: комментарий от kommersant 20.09.19 23:50:34 MSK
Ты не говоришь что у тебя там крутится, виртуалки, контейнеры или еще что.
Deleted
( 20.09.19 23:51:29 MSK )
Ответ на: комментарий от Deleted 20.09.19 23:51:29 MSK
крутятся сайты, без докеров
kommersant ★★
( 20.09.19 23:55:36 MSK ) автор топика
Ответ на: комментарий от kommersant 20.09.19 22:18:54 MSK
tcp 0 0 мой ип:51930 67.219.147.82:80 TIME_WAIT —
А много подобного нетстат показывает? Конкретно в данном случае что-то на твоём сервере подключилось к порту 80 (HTTP) сервера с айпишником 67.219.147.82 (где-то в США).
Если твои сайты должны сами подключаться куда-то ещё, то возможно это нормально. Если нет, то возможно твой сервак реально взломали (скорее всего через дыру в сайтах) и посадили бота, который пытается ломать другие сайты, DDoSит или занимается каким-нибудь другим подобным непотребством.
Deleted
( 21.09.19 00:02:47 MSK )
Ответ на: комментарий от Deleted 21.09.19 00:02:47 MSK
nethogs показывает примерно 20-30 записей такого типа, но с разными удаленными ип
? root ип сервера:59212-104.25.27.103:80 0.280 15.793 KB/sec
причем большая часть не качает и у них 0 KB/sec
также сам кач идет не постоянный, то появляется то исчезают
при этом nload показывает стабильный входящий трафик 20 мб\с
что еще заметил- после ребута сервера nload сразу же показывает что идет скачивание
если я выключаю php-fpm или nginx то nethogs не показывает активую скачку, а nload показывает что скачивание не изменилось
kommersant ★★
( 21.09.19 09:44:52 MSK ) автор топика
Ответ на: комментарий от kommersant 21.09.19 09:44:52 MSK
iftop
anonymous
( 21.09.19 10:20:50 MSK )
Ответ на: iftop от anonymous 21.09.19 10:20:50 MSK
iftop показывает список ип
мне надо найти кто именно создает нагрузку на сеть
kommersant ★★
( 21.09.19 10:34:24 MSK ) автор топика
Ответ на: комментарий от kommersant 21.09.19 10:34:24 MSK
пытался использовать tcpdump, iftop,iptraf-ng но никто не показывает имена процессов
kommersant ★★
( 24.09.19 10:41:27 MSK ) автор топика
lsof -i tcp:51930yetanother ★★
( 24.09.19 10:55:40 MSK )
Последнее исправление: yetanother 24.09.19 10:56:28 MSK (всего исправлений: 2)
Ответ на: комментарий от yetanother 24.09.19 10:55:40 MSK
ничего не выводит
kommersant ★★
( 24.09.19 12:10:22 MSK ) автор топика
skyman ★★★
( 24.09.19 12:17:41 MSK )
Ответ на: комментарий от skyman 24.09.19 12:17:41 MSK
ss -lntp выводит список сервисов, которые запущены и слушают порты
в моем случае неизвестное приложение открывает порт 59212 и соединяется или пытается соединиться с 104.25.27.103 на порт 80
по крайней мере ss -lntp не показывает порты больше чем 11211
kommersant ★★
( 24.09.19 12:43:02 MSK ) автор топика
Ответ на: комментарий от kommersant 24.09.19 12:10:22 MSK
От рута надо запускать, на всякий случай. Ну и понятно с актуальным значением порта.
yetanother ★★
( 24.09.19 12:44:43 MSK )
Ответ на: комментарий от yetanother 24.09.19 12:44:43 MSK
конечно я запускал под рутом ss -lntp|grep 58658 но ничего не показало
kommersant ★★
( 24.09.19 12:52:53 MSK ) автор топика
Ответ на: комментарий от kommersant 24.09.19 12:52:53 MSK
Я имел в виду `lsof`. Например у меня под рутом она показывает все процессы кто сидит на заданном порту:
user@user sudo lsof -i tcp:80 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME apache2 1015 root 4u IPv6 2042 0t0 TCP *:http (LISTEN) apache2 24448 www-data 4u IPv6 2042 0t0 TCP *:http (LISTEN) apache2 24449 www-data 4u IPv6 2042 0t0 TCP *:http (LISTEN) apache2 24450 www-data 4u IPv6 2042 0t0 TCP *:http (LISTEN) apache2 24451 www-data 4u IPv6 2042 0t0 TCP *:http (LISTEN) apache2 24452 www-data 4u IPv6 2042 0t0 TCP *:http (LISTEN) тебе же нужен pid процесса, который поддерживает заданное TCP соединение, правильно? Без рута `lsof` ничего не выведет
yetanother ★★
( 24.09.19 13:02:14 MSK )
Ответ на: комментарий от yetanother 24.09.19 13:02:14 MSK
[root@localhost ~]# lsof -i tcp:35014
[root@localhost ~]#
kommersant ★★
( 24.09.19 13:14:24 MSK ) автор топика
Ответ на: комментарий от kommersant 24.09.19 13:14:24 MSK
Хмм, а статус соединений `TIME_WAIT` у всех? Это уже практически завершенные соединения, которые отвалятся по таймауту
yetanother ★★
( 24.09.19 13:23:57 MSK )
Последнее исправление: yetanother 24.09.19 13:24:15 MSK (всего исправлений: 1)
Ответ на: комментарий от yetanother 24.09.19 13:23:57 MSK
почти у всех кому делаю греп по портам из nethogs показывает TIME_WAIT
Как посмотреть кто грузит интернет.
Добрый вечер!
Извиняюсь, если подобные вопросы уже были.
Дело вот в чем, как организовать контроль за использованием интернета. т.е. посмотреть, кто в данный момент грузит интернет/статистика использования
выход в интернет осуществляется через шлюз на базе Linux
Прокси типа Squid пока отпадает, т.к. хотелось бы смотреть еще и админов, прозрачный прокси пока тоже отпадает.
Подскажите чем можно организовать такое
было бы не плохо иногда посматривать, ip адрес и как грузит канал
- Вопрос задан более двух лет назад
- 642 просмотра
1 комментарий
Простой 1 комментарий
хотелось бы смотреть еще и админов
Вот тут вообще непонятно, у вас что админы как-то иначе во внешние сети ходят? Удачи тогда вам с безопасностью)
Решения вопроса 0
Ответы на вопрос 5
у админа три руки
Использую iftop.
https://habr.com/ru/post/114082
Мониторинг трафика?
Ответ написан более двух лет назад
Комментировать
Нравится 1 Комментировать
CityCat4 @CityCat4 Куратор тега Сетевое администрирование
Внимание! Изменился адрес почты!
trafstat/trafd, если он еще жив.
Или любой коллектор траффика на базе netflow.
Но надо понимать, что netflow дает только ip адреса источника и приемника и обьем переданных данных. Это не слишком удобоваримая статистика, поэтому скорее всего придется пересмотреть постановку задачи
Ответ написан более двух лет назад
Комментировать
Нравится Комментировать
Damian Lewis @DamianLewis
netstat -utopa — покажет локальный адрес (имя компьютера) того кто использует сеть НЕ в режиме реального времени.
iftop — в режиме реального времени отображает локальный адрес (имя компьютера), какие сайты открыты, сколько данных получено и передано. Установить sudo apt install iftop . Чтобы мониторить только нужный сетевой интерфейс, узнайте название интерфейса через команду ifconfig . Затем введите sudo iftop -i название интерфейса . Наример sudo iftop -i wlk30
nethogs — в режиме реального времени покажет какие программы используют сеть и сколько данных они получают или отправляют. Также покажет имя пользователя. Запускать команду надо обязательно через sudo nethogs Установить nethogs sudo apt-get install nethogs
Как проверить, какие приложения используют ваше интернет-соединение в Windows 10.
Если вы заметили, что ваш Интернет внезапно стал медленным, возможно, приложение на вашем ПК использует пропускную способность сети в фоновом режиме. Используя диспетчер задач, вы можете проверить, какие приложения обмениваются данными в локальной сети, что может помочь вам определить, как используется ваше интернет-соединение.
Посмотреть, какие приложения используют ваше интернет-соединение
Начните с запуска диспетчера задач с помощью сочетания клавиш Ctrl + Shift + Esc . Если диспетчер задач открывается в упрощенном виде, нажмите кнопку «Подробнее» в левом нижнем углу, чтобы развернуть окно.
Вы попадете на вкладку «Процессы», в которой содержится информация о каждом приложении, запущенном на вашем компьютере, включая внутренние процессы Windows. В столбце «Сеть» отображается текущее использование каждого приложения в сети в Мбит/с. Кликните заголовок столбца, чтобы отсортировать запущенные процессы для просмотра показателей пропускной способности, по убыванию.
Следует помнить, что в этом столбце отображается активность локальной сети, а не использование Интернета. Другими словами, если вы выполняете резервное копирование файлов на жесткий диск, подключенный к сети, эта программа будет обмениваться данными со скоростью несколько сотен Мбит/с в вашей сети, но не будет использовать пропускную способность Интернета.
В большинстве случаев сетевая активность приложения будет осуществляться исключительно через Интернет. Если ваше соединение замедляется, попробуйте найти приложение в диспетчере задач, которое обменивается данными примерно с той же скоростью, что и ваша максимальная скорость интернета. Иногда вы можете обнаружить, что виновником является системный компонент Windows, например «Service Host: Local System», который отвечает за загрузку обновлений Windows.
Мониторинг сетевой активности в диспетчере задач
Если вы хотите просмотреть фактические данные об использовании данных для своих приложений, перейдите на вкладку «Журнал приложений» в диспетчере задач. Столбец «Сеть» показывает вам общее количество данных использованное вашими приложениями за последние 30 дней.
Дополнительную информацию можно получить, открыв приложение «Параметры» и перейдя в «Сеть и Интернет» → «Использование данных». Здесь вы можете проверить, как используют данные современные приложения и классические программы, тогда как диспетчер задач включает только приложения Microsoft Store.
Наконец, на странице «Конфиденциальность» → «Фоновые приложения» вы можете ограничить фоновую работу в приложениях из Магазина. Подробнее в нашем руководстве: Windows 10 — Запретить запуск приложений в фоновом режиме.
Это освободит большую полосу пропускания для ваших приоритетных задач, но может привести к потере полезной функциональности приложений. Автоматическая синхронизация процессов, живых плиток и других фоновых сетевых действий будет запрещена, поэтому вы можете пропустить входящие уведомления и обновления информации в реальном времени.
Рекомендуем:
Какие программы используют интернет?
Актуальная проблема для владельцев тарифов с лимитом на скорость или объем информации (а так же USB модемы) или «низкоскоростного интернета». Вроде бы интернет есть, а скорости не хватает даже чтобы открывать страницы в интернете. Если Вы к этому привыкли и смирились, то можете и дальше не обращать внимание. Но всё же думаю всем будет интересно какие программы или приложения используют интернет трафик.
Кстати, порой таким образом можно узнать и увидеть какой-то незнакомый процесс или приложение, которого Вы не знаете, а это может быть вирус или программа-шпион, которые отсылают Ваши данные (или следят за Вашими действиями) и отсылают их кому-то через интернет.
Узнать что жрет Ваш интернет трафик можно несколькими способами.
1) Через стандартный Диспетчер задач. Но тут есть один бооольшой недостаток — только в Windows 8 он показывает на вкладке Процессы в колонке Сеть.
В остальных редакциях (версиях) «винды» такого нет. Точнее есть, но там не то, что нужно.
2) Через Фаерволы и различные сетевые экраны, которые предоставляют антивирусы.
Но тут тоже есть загвоздка — не все дают такую возможность, а ещё есть и платные варианты. Хотя я пользуюсь Comodo Firewall и меня устраивает. Показывает, кстати, что использует интернет тоже. Как и все фаерволы в принципе.
3) Через сторонние специальные программы.
Вот этот вариант я считаю самым хорошим и действенным, потому что подойдет для всех версий ОС и не нужно платить, ведь все программы бесплатные.
Первой программой, которая заслужила всеобщего признания, является TCPView из пакета утилит Microsoft.
Из положительного можно отметить то, что она не требует установки (портабельная) и занимает мало места (284 кб). Из отрицательного в ней только то, что она не имеет русскоязычного интерфейса. Но разобраться в ней не составит особого труда.
После запуска файла, главное окно представляет собой такой вид:
В нём сразу же отображаются все программы, которые используют интернет, с такими характеристиками, как используемый порт, IP адрес и другие.
Кроме этого можно сохранить этот список в текстовый файл, а так же настроить отображение.
При клике ПКМ по процессу можно узнать свойства процесса (Process Properties), завершить его (End Process), закрыть соединение (Close Connection), скопировать (Copy) и узнать что о нём думает система (Whois. ) (у меня не заработало)
Вторая программа — это NetWorx
Делает всё то же самое, что и предыдущая программа, а именно отслеживает и показывает какие программы лезут в сеть интернет. Самое главное и приятное отличие — она русифицирована и имеет множество функций.
После установки и/или запуска программа сворачивается в трей и при клике ПКМ на иконке появляется такое меню:
По сути главное что нам нужно — это узнать какие проги жрут инет. Это находится в меню Инструменты — Соединения
В нём так же можно узнать какие приложения используют и можно завершить процесс кликом правой кнопки мыши по нему.
Недостатком я считаю то, что нельзя узнать свойства файла, а следовательно Вам остаётся только гадать что за файл и где он находится.
Наверное поэтому в неё включено множество функций, таких как:
— Общая статистика, в которой Вы можете узнать сколько всего получено/отправлено в день/неделю/месяц или от других пользователей (если учетных записей несколько).
— График текущей скорости.
— Измерить скорость интернет соединения.
— Настроить лимит (квоту) на использование интернет трафика. Вы определяете сколько можно потратить в час/день/неделю/месяц, а потом программа Вас уведомит о лимите.
— Можно произвести трассировки или пропинговать маршрут. Простыми словами — пишите ip адрес или url сайта, а программа определяет сколько времени занимает отправление/получение ответа и запроса. В общем это для более продвинутых пользователей.
Ну вот и всё на этом. С основной задачей, а именно как узнать какие программы и приложения потребляют интернет соединение, Вы разобрались и знаете что делать.