[linux] не пойму что за трафик

Jackill

Есть компьютер, подключённый к сети. netsat говорит, что нет никаких TCP/UDP соединений, в то же время ifconfig показывает активный RX трафик. Почему так?
aneto:~$ netstat -t

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State      

aneto:~$ netstat -u

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

за ~3 секунды порядка 13 кб в RX:
aneto:~$ /sbin/ifconfig eth0 |grep bytes

          RX bytes:1518793830 (1.4 GiB)  TX bytes:4262315436 (3.9 GiB)

aneto:~$ /sbin/ifconfig eth0 |grep bytes

          RX bytes:1518797048 (1.4 GiB)  TX bytes:4262315502 (3.9 GiB)

aneto:~$ /sbin/ifconfig eth0 |grep bytes

          RX bytes:1518798518 (1.4 GiB)  TX bytes:4262315502 (3.9 GiB)

aneto:~$ /sbin/ifconfig eth0 |grep bytes

          RX bytes:1518799362 (1.4 GiB)  TX bytes:4262315502 (3.9 GiB)

aneto:~$ /sbin/ifconfig eth0 |grep bytes

          RX bytes:1518810541 (1.4 GiB)  TX bytes:4262315502 (3.9 GiB)

dgaf

всякий бродкастовый спам, вероятно
tcpdump -nqt

tokuchu

UDP соединений
Их "не существует". netstat покажет только прослушивание сокета. Всякие там бродкасты не будут отображаться, ICMP ещё есть.
Кроме того TCP/UDP/netstat - это уже 3-й уровень, а то что приходит может быть и 2-го уровня - arp, например.

Jackill

Видимо ты прав. А этот "спам" - хорошо или нет?
Почему так много обращений к нэймсерверу?
Я ведь сам в сеть не лезу - никого не трогаю :confused:
nbbatkov - это мой комп
ns1 - nameserver


aneto:/home/# tcpdump -qt

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet capture size 96 bytes

arp who-has pcna48farm01.pi.infn.it tell na48srv1.pi.infn.it

IP nbbatkov.pi.infn.it.60152 > ns1.pi.infn.it.domain: UDP, length 45

IP ns1.pi.infn.it.domain > nbbatkov.pi.infn.it.60152: UDP, length 153

IP nbbatkov.pi.infn.it.36245 > ns1.pi.infn.it.domain: UDP, length 46

IP ns1.pi.infn.it.domain > nbbatkov.pi.infn.it.36245: UDP, length 150

IP nbbatkov.pi.infn.it.46328 > ns1.pi.infn.it.domain: UDP, length 44

IP ns1.pi.infn.it.domain > nbbatkov.pi.infn.it.46328: UDP, length 139

IP nbbatkov.pi.infn.it.49353 > ns1.pi.infn.it.domain: UDP, length 46

IP ns1.pi.infn.it.domain > nbbatkov.pi.infn.it.49353: UDP, length 150

IP compass.df.unipi.it.netbios-ns > 131.114.143.255.netbios-ns: UDP, length 50

IP nbbatkov.pi.infn.it.52058 > ns1.pi.infn.it.domain: UDP, length 46

arp who-has node2.pi.infn.it tell 192.135.9.202

IP ns1.pi.infn.it.domain > nbbatkov.pi.infn.it.52058: UDP, length 107

IP6 fe80::21b:fcff:febe:61fd.mdns > ff02::fb.mdns: UDP, length 46

IP nbbatkov.pi.infn.it.mdns > 224.0.0.251.mdns: UDP, length 46

arp who-has approbcc.pi.infn.it tell bladeth02.pi.infn.it



16 packets captured

1418 packets received by filter

1084 packets dropped by kernel

tokuchu

Почему так много обращений к нэймсерверу?
Потому что ты команду неправильно переписал. Забыл ключ "-n", а говоришь, что ты не лезешь к неймсерверу.

Jackill

Забыл ключ "-n", а говоришь, что ты не лезешь к неймсерверу.
точно. гениально ;)
Оставить комментарий
Имя или ник:
Комментарий: