Skum nätverkstrafik.

[hkkla]

Jag upptäckte precis att jag tar emot trafik, massor med trafik mellan 500-1000 kb/s på mitt nätverkskort mot internet. Firestarter visar inga aktiva anslutningar och trafiken går inte ens ner om jag låser brandväggen.
Likaså verkar inte hårddisken syssla med något, den blinkar till som vanligt nångång vart femte sekund. Blir jag portskannad eller är det nån utrustning utanför min dator som kan vara paj och spyr ut skittrafik?

Vad kan detta bero på, hur kan jag se vad det är jag tar emot i detalj samt hur stoppar jag det? Någon som har några bra idéer som puttar mej i rätt riktning?

[Okänd]

Det låter konstigt det där...
Kolla här:

http://ubuntu-se.org/drupal/firestarter

Kontrollera dina inställningar där kanske...

LJ

[Christian Johansson]

Jag har upptäckt något liknande både under Windows och under Ubuntu när jag har kört fildelningsprogrammet eMule/aMule. Efter att jag har stängt ner programmet så kan jag se på kabelmodemet att det verkar vara en hel del trafik för Tx-lampan som normalt är släckt när man inte gör något på Internet blinkar rätt intensivt vilket indikerar att datorn sänder något (kanske som resultat av att något tas emot). Jag kan också se i nätverksikonen under Ubuntu att det verkar vara en hel del trafik. Jag vet inte varför det blir så för jag har ju stängt ner programmet men som sagt inträffar detta både under Windows och Ubuntu och det slutar inte förrän jag startar om datorn.

[hkkla]

Little John, jag skickar ingen trafik alls just. Hade det varit så hade jag blivit riktigt orolig.

Christian Johannsson, där sa du kanske något. Jag tankade hem 23 avsnitt av en tv-serie i ett svep. Hade nog över 500 anslutningar. Det enda som talar mot det är att nu har dator stått avstängd i några timmar och trafiken är fortfarande där. Men eftersom alla avsnitt blev färdigladdade och jag använde bittorrent så borde det inte bli som det blir på emule tycker jag.

Upptäckte nu att jag tillochmed kan bocka av det nätverkskortet i nätverksinställningar och trafiken är fortfarande där. Det va väl ändå lite överskumt? Kan det vara så att nätverkskortet har fått fnatt bara? Det är ett 3com 3c905.

[pre]

Det är inte så konstigt. Du har ju delat filer med ett stort antal datorer på Internet. Det tar tid innan dessa fattat att du stängt ditt program och inte delar filer längre. Till dess kommer trafiken att fortgå till din maskin.

[maths57]

Det är ju själv grejen med BitTorrent att man delar med sig. Har du laddat ner något, kommer andra att kunna ansluta till din dator för att kunna ladda hem det du har laddat ner. Så det är nog inte så konstigt om det emellanåt kommer att vara trafik från din dator, trots att du själv inte gör något just då.

Du kan kolla vilka portar i datorn som är öppna.
1. Gå till System - Administration - Nätverksverktyg.
2. Gå till fliken Portskanna.
3. Skriv in IP-adressen för din dator och klicka på Skanna.
4. Nu borde det komma upp en lista.

Nu vet jag inte vilken port BitTorrent använder. Det skulle vara intressant att veta hur man skulle kunna se vilka portar som används just nu.

[zoombywoof]

Nu vet jag inte vilken port BitTorrent använder. Det skulle vara intressant att veta hur man skulle kunna se vilka portar som används just nu.

netstat -anp

[hkkla]

Mycket irriterande, trafiken håller fortfarande på.

[zoombywoof]

Mycket irriterande, trafiken håller fortfarande på.

iftop är ett sjysst verktyg för att kolla vilka connections du har och hur mycket bandbredd de förbrukar.

$ sudo apt-get install iftop

sen är det bara att köra iftop programmet från en konsol, har du mer än 1 ethernet interface kan du ange vilkety interface som skal kollas. Ex.

$ iftop -i eth1

som root ofkårs

Vill du kolla vilka portar ett givet program lyssnar på eller har connections till så är netstat informativt.
Ex:
$ sudo netstat -anp | grep tcp

visar dig alla tcp connections

/zw

[rancor]

Mycket irriterande, trafiken håller fortfarande på.

Den försvinner så fort du har seedat minst ratio 1-1 

[maths57]

Iftop verkar helt suveränt. Jag installerade det och testar det nu. Jag tycker hkkla kan pröva det för att se trafiken.

[hkkla]

zoombywoof,
Suveränt program, tack, men...RX tickar på med ca 500 kb per sek, dock finns ingen i listan över connections som motsvarar den hastigheten. Totalt sett är det helt lugnt mer eller mindre.

Kan det vara nån form av rootkit som spökar? Men det vore väl mer intressant om jag skickade information. Eller är det kanske nån som lagrar tvivelaktigt material på min dator kanske mha ett rootkit. Isåfall är det nog dags för en dban av hårddisken.

Finns det någon rootkit-hittare/dödare till Ubuntu? Bara så man kan utesluta den möjligheten. Jag vet inte om jag har installerat något tvivelaktigt program och jag har inte dubbelklickat på några filer i mejlen.
Jag har väl säkert surfat på lite tvivelaktigt innehåll men Ubuntu är väl immunt mot sånt?

rancor,

Så har det aldrig varit för mej, dessutom skickar jag inget utan bara tar emot. Ktorrent är helt dödat. Även om det var så så tycker jag inte anslutningsförsök borde ta den bandbredd det gör. Det var dessutom inget nytt jag tankade hem utan relativt gammalt och välseedat.

[phobicus]

iptraf är la ett bra program också:)

[Lars]

Försök ta reda på vilken TCP/UDP-port som används, det borde säga en del om vad det är för typ av trafik. Programmet iptraf som phobicus nämnde tror jag grejar det.

Annars finns ju Wireshark, men det ger kanske lite mer information än vad man kan smälta.

[hkkla]

UDP (1344 bytes) from 193.222.141.165:50000 to 239.255.105.10:5510 on eth0

Den här raden listas med iptraf ungefär 600-700 gånger i sekunden. 
Jag har redan tagit emot över 160000 paket bara under tiden jag skrivit det här inlägget.

Det kan väl inte vara så normalt?

Ingen av ipadresserna verkar ha med min ISP att göra.

[hkkla]

Det verkar ju som att jag försöker vidarebefodra nånting på något sätt.

[hkkla]

Pratade med min ISP nu och det har visst något att göra med IPTV, jag har dock ingen sån låda så det var lite konstigt att detta skickas till min dator. Jag mejlade lite skärmdumpar och annat nu till dom eftersom dom ville ha det så får vi se om/när dom lyckas lösa det.

[maths57]

UDP (1344 bytes) from 193.222.141.165:50000 to 239.255.105.10:5510 on eth0

Adressen 193.222.141.165 verkar tillhöra Swedish Space Corporation.
239.255.105.10 kan jag inte se vem det är. Är det din adress?

[Malou]

Hej!

239.255.105.10 kan jag inte se vem det är. Är det din adress?

Här kommer lite information ang ovanstående adress

... here is the whois look up result for 239.255.105.10 from whois.arin.net :

OrgName:    Internet Assigned Numbers Authority
OrgID:      IANA
Address:    4676 Admiralty Way, Suite 330
City:      Marina del Rey
StateProv:  CA
PostalCode: 90292-6695
Country:    US

NetRange:  224.0.0.0 - 239.255.255.255
CIDR:      224.0.0.0/4
NetName:    MCAST-NET
NetHandle:  NET-224-0-0-0-1
Parent:   
NetType:    IANA Special Use
NameServer: FLAG.EP.NET
NameServer: STRUL.STUPI.SE
NameServer: NS.ISI.EDU
NameServer: NIC.NEAR.NET
Comment:    This block is reserved for special purposes.
Comment:    Please see RFC 3171 for additional information.
Comment:   
RegDate:    1991-05-22
Updated:    2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName:  Internet Corporation for Assigned Names and Number
OrgAbusePhone:  +1-310-301-5820
OrgAbuseEmail:  abuse at iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName:  Internet Corporation for Assigned Names and Number
OrgTechPhone:  +1-310-301-5820
OrgTechEmail:  abuse at iana.org

# ARIN WHOIS database, last updated 2007-09-10 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Adressen 193.222.141.165 verkar tillhöra Swedish Space Corporation.

organisation:  ORG-SSC3-RIPE
org-name:      Swedish Space Corporation
org-type:      OTHER
address:        Vidjav�gen
address:        SE-12352 FARSTA

Ovanstående kan även tillhöra/komma från

OrgName:    RIPE Network Coordination Centre
OrgID:      RIPE
Address:    P.O. Box 10096
City:      Amsterdam
StateProv: 
PostalCode: 1001EB
Country:    NL

****************************************************************

MVH/Malou

[hkkla]

Det var märkligt, kör man namnuppslagning så leder 239.255.105.10 till en server som heter dot.ep.net eller hostmaster.ep.net.
Surfar man in på ep.net så hittar man nån koinstig sida, nån organisation som erbjuder nån form av tjänster på internet är det iallafall. Verar inte vara något skumt.
Namnuppslagning på 193.222.141.165 leder till en server som heter dns1.bbtv.se eller postmaster.bbtv.net och det ska tydligen ha med IPTV att göra enligt min ISP.

Ingen av adresserna är min. I vart fall är trafiken igång fortfarande även om den möjligtvis har minskat lite nu men det gjorde den igår natt med.