Подозрительный трафик

Ответить
Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Подозрительный трафик

Сообщение Arbichev » 12 май 2015, 14:56

Здравствуйте!
Имею ROSA Desktop Fresh R5 64-bit со всеми обновлениями на 6 мая этого года.
Подключение к интернету через 4G модем Huawei E3272.
Оператор Мегафон.
Около двух недель замечаю, что при банальном серфе в интернете исходящий трафик
в несколько раз превосходит входящий.
Для примера выкладываю скриншот Knemo.
Ни по каким порнушным и вообще незнакомым сайтам не хожу.
Как определить, кто генерирует дополнительный исходящий трафик.
Фаервол включен. Настройки по умолчанию.
mts3.png
mega.png

keleg
Сообщения: 5507
Зарегистрирован: 15 сен 2011, 01:58

Re: Подозрительный трафик

Сообщение keleg » 12 май 2015, 15:04

Скайп?

Аватара пользователя
Barmalei
Сообщения: 5470
Зарегистрирован: 29 дек 2014, 15:45
Operating system: Rosa Fresh R12 Plasma 2021.1 x64

Re: Подозрительный трафик

Сообщение Barmalei » 12 май 2015, 15:09

keleg писал(а):Скайп?
Без видео общения такого не может быть от него в фоновом режиме.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 12 май 2015, 15:22

Скайпа на этом ноуте нет в принципе.

Аватара пользователя
DELTA-79
Сообщения: 1925
Зарегистрирован: 14 янв 2012, 14:07
Operating system: ROSA FRESH R2 KDE x86_64
Откуда: Георгиевск Ставропольский кр.
Контактная информация:

Re: Подозрительный трафик

Сообщение DELTA-79 » 12 май 2015, 18:30

А где вообще предпочитаете сёрфить? не только скайп кушает исходящий трафик.
‎Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz / 4 Gb RAM / NVIDIA GeForce GT 240 / Rosa 2012.1 R5 х86_64

PastorDi
Сообщения: 2743
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Подозрительный трафик

Сообщение PastorDi » 12 май 2015, 18:32

Я вот что-то не наблюдал за трафиком такое.
Попробуйте

Код: Выделить всё

net_monitor
запустить и в нем посмотреть. Какие он цифры показывает?
Может касяк в Knemo? Если и там то же самое. Возможно что-то флудит в сеть, возможно драйвер сетевухи (было такое), может еще то-то...

Можете еще поставить тулзу, которая покажет вам кто ест сетевой трафик по процессам.

Код: Выделить всё

urpmi nethogs
Описание здесь: http://zenway.ru/page/nethogs

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 12 май 2015, 20:18

Пишу с другого ПК. На том ноутбуке при попытке зайти на сайт rosalab.ru в ответ получаю
mega1.png
Я думаю, что это уже серьезно.

Аватара пользователя
DELTA-79
Сообщения: 1925
Зарегистрирован: 14 янв 2012, 14:07
Operating system: ROSA FRESH R2 KDE x86_64
Откуда: Георгиевск Ставропольский кр.
Контактная информация:

Re: Подозрительный трафик

Сообщение DELTA-79 » 12 май 2015, 20:25

Arbichev писал(а):Пишу с другого ПК. На том ноутбуке при попытке зайти на сайт rosalab.ru в ответ получаю
mega1.png
Я думаю, что это уже серьезно.
У меня это тоже было минут 15, потом пропустил. Переведите текст, там пишут о том, что много посетителей сегодня. :)
‎Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz / 4 Gb RAM / NVIDIA GeForce GT 240 / Rosa 2012.1 R5 х86_64

PastorDi
Сообщения: 2743
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Подозрительный трафик

Сообщение PastorDi » 12 май 2015, 22:15

Arbichev писал(а):Пишу с другого ПК. На том ноутбуке при попытке зайти на сайт rosalab.ru в ответ получаю

Я думаю, что это уже серьезно.
Уже давно все починили, база sql видимо сглючило, либо кто-то флудил в базу. Забудьте про это. Уже все работает.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 13 май 2015, 09:21

Новая информация к размышлению.
Этот модем Huawei при включении ноутбука может определяться либо как ppp0, либо как wwan0 - совершенно
случайным образом. Так вот, если он определился как wwan0, то генерируется большой исходящий трафик,
как показано на вчерашних скриншотах.
Если он определился как ppp0, то все так, как и должно быть - на данный момент "Принято 13.9 Миб, передано 1.3 Миб"
сообщает нетворкманагер.
Сегодня при включении ноутбука он определился как ррр0.
Но ведь чудес не бывает?

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 13 май 2015, 09:43

Сейчас и утилита nethogs не показывает ничего подозрительного
mega2.png

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 13 май 2015, 15:06

Перезагрузил ноутбук. Модем определился как wwan0. Через пару часов работы "Принято 16.5 МиБ, Передано 39.4 МиБ.
Скриншот прилагается
mega3.png

Аватара пользователя
Barmalei
Сообщения: 5470
Зарегистрирован: 29 дек 2014, 15:45
Operating system: Rosa Fresh R12 Plasma 2021.1 x64

Re: Подозрительный трафик

Сообщение Barmalei » 13 май 2015, 15:17

Попробуйте коннектится через KPPP, он создает вроде все время ppp0.
А сейчас через что идет коннект?

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 13 май 2015, 15:48

Через Модемманагер.

Аватара пользователя
Barmalei
Сообщения: 5470
Зарегистрирован: 29 дек 2014, 15:45
Operating system: Rosa Fresh R12 Plasma 2021.1 x64

Re: Подозрительный трафик

Сообщение Barmalei » 13 май 2015, 15:50

Arbichev писал(а):Через Модемманагер.
Какой? Я чет не видел. Network Manager видел.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 14 май 2015, 10:12

Да, я ошибся, конечно нетворкманагер.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 14 май 2015, 11:45

Сегодня с утра модем определился как ppp0, поэтому трафик выглядит классически.
mega4.png

notauser
Сообщения: 1254
Зарегистрирован: 06 май 2012, 21:00

Re: Подозрительный трафик

Сообщение notauser » 14 май 2015, 22:50

http://unix.stackexchange.com/questions ... 0-vs-wwan0
sudo iftop -i wwan0
> Через Модемманагер.
Именно он и должен решать, что скормить NM

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 15 май 2015, 10:50

Извините за ламерство, но

Код: Выделить всё

[root@Lenovo-G550 admin]# iftop -i wwan0
bash: iftop: команда не найдена
[root@Lenovo-G550 admin]# 

viktor
Сообщения: 44
Зарегистрирован: 16 окт 2013, 10:51
Operating system: GNU/Linux

Re: Подозрительный трафик

Сообщение viktor » 15 май 2015, 11:03

Код: Выделить всё

urpmi iftop

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 15 май 2015, 11:27

Докладываю. Если браузер не запущен, то никакого подозрительного трафика не наблюдается
iftop.png
Если запускаю браузер Firefox, то начинается бешеный трафик
iftop1.png
Теперь вопрос, как это побороть?

keleg
Сообщения: 5507
Зарегистрирован: 15 сен 2011, 01:58

Re: Подозрительный трафик

Сообщение keleg » 15 май 2015, 11:34

Браузер огнелис? Какие расширения стоят?

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 15 май 2015, 11:48

Стоят:
1.Видеокодек OpenH264
2.Shockwave Flash
3.Skype Buttons for Kopete
4.UnMHT

keleg
Сообщения: 5507
Зарегистрирован: 15 сен 2011, 01:58

Re: Подозрительный трафик

Сообщение keleg » 15 май 2015, 12:43

Может, какой вирус для огнелиса поймали?

Аватара пользователя
Галахов Роман
Сообщения: 2349
Зарегистрирован: 26 фев 2012, 20:02
Operating system: Rosa R12.1 Fresh Plasma (HP ProBook 440 G4 (y7z81ea))
Откуда: Моск. обл. Волоколамск

Re: Подозрительный трафик

Сообщение Галахов Роман » 15 май 2015, 12:50

А данная функция выключена?
пкйц9.png
Может она трафик тянет?
Rosa 2021.1 Fresh KDE5 x64-86 (HP ProBook 440 G4 (y7z81ea))

Аватара пользователя
Barmalei
Сообщения: 5470
Зарегистрирован: 29 дек 2014, 15:45
Operating system: Rosa Fresh R12 Plasma 2021.1 x64

Re: Подозрительный трафик

Сообщение Barmalei » 15 май 2015, 13:01

В 38 FF уже по другому выглядет.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 15 май 2015, 13:38

firefox.png
Отправка была включена, сейчас ее отключил.

PastorDi
Сообщения: 2743
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Подозрительный трафик

Сообщение PastorDi » 15 май 2015, 15:21

Написать разрабам Firefox и Google, чтобы не собирали никакой инфы с компьютера. :)
То, что вы отключили, все равно не поможет. FF и Хром всеравно отправлять будут траф. Там куча серверов у них, я пытался как-то блокировать ip адреса, но бесполезно, из там тысячи... Ничего тут не сделаешь.
Хотя можно немного пошаманить, но...
На картинке, посмотрите, поотключайте там все что можно (не так как на картинке - это пример где искать). Чтоб не долбился. Может уменьшится траф. Не думаю что сильно.
Да, еще отключить в FF антифишинг, анти....что-то еще. :)
Я вот тут писал как можно блочить рекламку с промщью прокси, можете попробовать. Забить туда все адреса, по которым долбится, и попробовать. Может еще подсократит траф.
Вложения
sf1.png

notauser
Сообщения: 1254
Зарегистрирован: 06 май 2012, 21:00

Re: Подозрительный трафик

Сообщение notauser » 15 май 2015, 17:14

Arbichev, модем как "определился" ? Как wwan0?
Была проблема TX>RX при wwan0 примерно в 2 раза?
iftop что показывает?
Делаем выводы.
P.S. А по поводу всего остального - вот такой он "internet", хотя может быть вы предпочтёте uucp.
P.P.S. Проверьте что это за ip, может захотите сменить стартовую страницу и DNS.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 19 май 2015, 10:40

Посылаю две выдачи dmesg: в одном случае модем определился как wwan0, в другом случае как ррр0.
Почему так получается - не понимаю.

Код: Выделить всё

модем подключен после загрузки ОС (определился как wwan0)

123.877192] usb 2-2: new high-speed USB device number 5 using ehci-pci
[  123.993153] usb 2-2: New USB device found, idVendor=12d1, idProduct=14fe
[  123.993165] usb 2-2: New USB device strings: Mfr=2, Product=1, SerialNumber=4
[  123.993173] usb 2-2: Product: HUAWEI Mobile
[  123.993179] usb 2-2: Manufacturer: HUAWEI Technology
[  123.993185] usb 2-2: SerialNumber: FFFFFFFFFFFFFFFF
[  124.049519] usb-storage 2-2:1.0: USB Mass Storage device detected
[  124.049601] scsi5 : usb-storage 2-2:1.0
[  124.049924] usbcore: registered new interface driver usb-storage
[  124.598971] usb 2-2: USB disconnect, device number 5
[  124.961495] usb 2-2: new high-speed USB device number 6 using ehci-pci
[  125.077094] usb 2-2: New USB device found, idVendor=12d1, idProduct=1506
[  125.077106] usb 2-2: New USB device strings: Mfr=2, Product=1, SerialNumber=0
[  125.077114] usb 2-2: Product: HUAWEI Mobile
[  125.077120] usb 2-2: Manufacturer: HUAWEI Technology
[  125.079881] usb-storage 2-2:1.3: USB Mass Storage device detected
[  125.080484] scsi6 : usb-storage 2-2:1.3
[  125.080852] usb-storage 2-2:1.4: USB Mass Storage device detected
[  125.081543] scsi7 : usb-storage 2-2:1.4
[  125.142925] usbcore: registered new interface driver cdc_ncm
[  125.146207] usbcore: registered new interface driver cdc_wdm
[  125.155459] usbcore: registered new interface driver usbserial
[  125.155475] usbcore: registered new interface driver usbserial_generic
[  125.155487] usbserial: USB Serial support registered for generic
[  125.158647] huawei_cdc_ncm 2-2:1.2: MAC-Address: 0c:5b:8f:27:9a:64
[  125.158758] huawei_cdc_ncm 2-2:1.2: cdc-wdm0: USB WDM device
[  125.158992] huawei_cdc_ncm 2-2:1.2 wwan0: register 'huawei_cdc_ncm' at usb-0000:00:1d.7-2, Huawei CDC NCM device, 0c:5b:8f:27:9a:64
[  125.159058] usbcore: registered new interface driver huawei_cdc_ncm
[  125.161670] usbcore: registered new interface driver option
[  125.161686] usbserial: USB Serial support registered for GSM modem (1-port)
[  125.161808] option 2-2:1.0: GSM modem (1-port) converter detected
[  125.163974] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0
[  125.164031] option 2-2:1.1: GSM modem (1-port) converter detected
[  125.164153] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1
[  126.083356] scsi 6:0:0:0: CD-ROM            HUAWEI   Mass Storage     2.31 PQ: 0 ANSI: 2
[  126.084906] scsi 7:0:0:0: Direct-Access     HUAWEI   TF CARD Storage  2.31 PQ: 0 ANSI: 2
[  126.085773] sd 7:0:0:0: [sdc] 7745536 512-byte logical blocks: (3.96 GB/3.69 GiB)
[  126.086397] sd 7:0:0:0: [sdc] Write Protect is off
[  126.086401] sd 7:0:0:0: [sdc] Mode Sense: 0f 00 00 00
[  126.087115] sd 7:0:0:0: [sdc] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[  126.092285]  sdc: sdc1
[  126.095027] sd 7:0:0:0: [sdc] Attached SCSI removable disk
[  126.107520] sr0: scsi-1 drive
[  126.107524] cdrom: Uniform CD-ROM driver Revision: 3.20
[  126.107666] sr 6:0:0:0: Attached scsi CD-ROM sr0
[admin@Lenovo-G550 ~]$ 

модем подключен до включения ПК (определился как ррр0)
6.747060] usb 2-2: new high-speed USB device number 6 using ehci-pci
[    6.862145] usb 2-2: New USB device found, idVendor=12d1, idProduct=1506
[    6.862150] usb 2-2: New USB device strings: Mfr=2, Product=1, SerialNumber=0
[    6.862152] usb 2-2: Product: HUAWEI Mobile
[    6.862154] usb 2-2: Manufacturer: HUAWEI Technology
[    6.865068] usb-storage 2-2:1.3: USB Mass Storage device detected
[    6.868990] scsi6 : usb-storage 2-2:1.3
[    6.869126] usb-storage 2-2:1.4: USB Mass Storage device detected
[    6.873937] scsi7 : usb-storage 2-2:1.4
[    7.064270] i2400m_usb 2-4:1.0: WiMAX interface wmx0 (00:1d:e1:18:13:97) ready
[    7.563611] iTCO_vendor_support: vendor-support=0
[    7.565157] iTCO_wdt: Intel TCO WatchDog Timer Driver v1.10
[    7.565198] iTCO_wdt: Found a ICH9M TCO device (Version=2, TCOBASE=0x0460)
[    7.565756] iTCO_wdt: initialized. heartbeat=30 sec (nowayout=1)
[    7.636592] cfg80211: World regulatory domain updated:
[    7.636596] cfg80211:  DFS Master region: unset
[    7.636597] cfg80211:   (start_freq - end_freq @ bandwidth), (max_antenna_gain, max_eirp)
[    7.636599] cfg80211:   (2402000 KHz - 2472000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[    7.636601] cfg80211:   (2457000 KHz - 2482000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[    7.636602] cfg80211:   (2474000 KHz - 2494000 KHz @ 20000 KHz), (N/A, 2000 mBm)
[    7.636604] cfg80211:   (5170000 KHz - 5250000 KHz @ 80000 KHz), (N/A, 2000 mBm)
[    7.636605] cfg80211:   (5250000 KHz - 5330000 KHz @ 80000 KHz), (N/A, 2000 mBm)
[    7.636607] cfg80211:   (5490000 KHz - 5730000 KHz @ 160000 KHz), (N/A, 2000 mBm)
[    7.636608] cfg80211:   (5735000 KHz - 5835000 KHz @ 80000 KHz), (N/A, 2000 mBm)
[    7.636610] cfg80211:   (57240000 KHz - 63720000 KHz @ 2160000 KHz), (N/A, 0 mBm)
[    7.756099] cfg80211: Calling CRDA for country: RU
[    7.794284] XFS (sdb1): Ending recovery (logdev: internal)
[    7.803625] systemd-journald[398]: Received request to flush runtime journal from PID 1
[    7.873569] scsi 6:0:0:0: CD-ROM            HUAWEI   Mass Storage     2.31 PQ: 0 ANSI: 2
[    7.876529] scsi 7:0:0:0: Direct-Access     HUAWEI   TF CARD Storage  2.31 PQ: 0 ANSI: 2
[    7.877275] sd 7:0:0:0: [sdc] 7745536 512-byte logical blocks: (3.96 GB/3.69 GiB)
[    7.877897] sd 7:0:0:0: [sdc] Write Protect is off
[    7.877900] sd 7:0:0:0: [sdc] Mode Sense: 0f 00 00 00
[    7.878523] sd 7:0:0:0: [sdc] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[    7.883535]  sdc: sdc1
[    7.886453] sd 7:0:0:0: [sdc] Attached SCSI removable disk
[    7.993308] vboxguest: PCI device not found, probably running on physical hardware.
[    8.418842] tg3 0000:07:00.0: irq 50 for MSI/MSI-X
[    8.453539] IPv6: ADDRCONF(NETDEV_UP): eth0: link is not ready
[    8.527792] usbcore: registered new interface driver usbserial
[    8.527873] usbcore: registered new interface driver usbserial_generic
[    8.527951] usbserial: USB Serial support registered for generic
[    8.545854] usbcore: registered new interface driver option
[    8.545939] usbserial: USB Serial support registered for GSM modem (1-port)
[    8.546263] option 2-2:1.0: GSM modem (1-port) converter detected
[    8.549515] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0
[    8.549649] option 2-2:1.1: GSM modem (1-port) converter detected
[    8.551000] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1
[    8.593305] option 2-2:1.2: GSM modem (1-port) converter detected
[    8.629788] cfg80211: Regulatory domain changed to country: RU
[    8.629792] cfg80211:  DFS Master region: ETSI
[    8.629793] cfg80211:   (start_freq - end_freq @ bandwidth), (max_antenna_gain, max_eirp)
[    8.629795] cfg80211:   (2402000 KHz - 2482000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[    8.629797] cfg80211:   (5170000 KHz - 5250000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[    8.629798] cfg80211:   (5250000 KHz - 5330000 KHz @ 40000 KHz), (N/A, 2000 mBm)
[    8.629800] cfg80211:   (5650000 KHz - 5730000 KHz @ 40000 KHz), (N/A, 3000 mBm)
[    8.629801] cfg80211:   (5735000 KHz - 5835000 KHz @ 40000 KHz), (N/A, 3000 mBm)
[    9.507791] i2400m_usb 2-4:1.0: firmware interface version 9.3.2
[    9.515723] usbcore: registered new interface driver i2400m_usb
[    9.689318] usbcore: registered new interface driver cdc_ncm
[    9.691082] usbcore: registered new interface driver cdc_wdm
[    9.692134] usbcore: registered new interface driver huawei_cdc_ncm
[    9.827319] sr0: scsi-1 drive
[    9.827326] cdrom: Uniform CD-ROM driver Revision: 3.20
[    9.828342] sr 6:0:0:0: Attached scsi CD-ROM sr0
[   14.034045] PPP generic driver version 2.4.2
[   14.034752] NET: Registered protocol family 24
[   14.043725] l2tp_core: L2TP core driver, V2.0
[   14.050749] l2tp_ppp: PPPoL2TP kernel driver, V2.0
[   22.245970] PPP BSD Compression module registered
[   22.251338] PPP Deflate Compression module registered
[   22.477251] NET: Registered protocol family 17
[  540.381286] Bluetooth: Core ver 2.18
[  540.381306] NET: Registered protocol family 31
[  540.381307] Bluetooth: HCI device and connection manager initialized
[  540.381315] Bluetooth: HCI socket layer initialized
[  540.381316] Bluetooth: L2CAP socket layer initialized
[  540.381327] Bluetooth: SCO socket layer initialized
[  540.393103] Bluetooth: BNEP (Ethernet Emulation) ver 1.3
[  540.393107] Bluetooth: BNEP filters: protocol multicast
[  540.393116] Bluetooth: BNEP socket layer initialized
[root@Lenovo-G550 admin]# 

PastorDi
Сообщения: 2743
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Подозрительный трафик

Сообщение PastorDi » 19 май 2015, 11:09

Куски логов, как-то не все видно.
Вы по другому сделайте. Загрузитесь, воткните мопед, подождите 2минуты (пока подключится), сделайте hw-probe. Потом выключите комп, воткните мопед, загрузитесь, сделайте hw-probe. У вас будет 2 пробы. Обе ссылки сюда кидайте, напишите какая при каком сценарии. И будем тогда смотреть.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Подозрительный трафик

Сообщение Arbichev » 19 май 2015, 12:23

Cделал hw-probe когда модем определился как ррр0, ссылка:
https://linux-hardware.org/?probe=105147ae40

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Подозрительный трафик

Сообщение Arbichev » 19 май 2015, 12:31

Второй вариант-сначала включил ПК, потом подключил модем (определился как wwan0)
https://linux-hardware.org/?probe=c8ee800b21

Аватара пользователя
Barmalei
Сообщения: 5470
Зарегистрирован: 29 дек 2014, 15:45
Operating system: Rosa Fresh R12 Plasma 2021.1 x64

Re: Подозрительный трафик

Сообщение Barmalei » 19 май 2015, 13:13

Когда ppp0 есть
cdrom usb_storage Huawei Technologies Co., Ltd. Modem/Networkcard
Когда wwan0 к этому есть еще вот это
modem AT Modem

notauser
Сообщения: 1254
Зарегистрирован: 06 май 2012, 21:00

Re: Подозрительный трафик

Сообщение notauser » 19 май 2015, 16:53

>> Через Модемманагер.
>Именно он и должен решать, что скормить NM
>Была проблема TX>RX при wwan0 примерно в 2 раза?
>iftop что показывает?
>Посылаю две выдачи dmesg:
Вы что-то не поняли или поговорить? :)
Хотелось бы увидеть выхлоп iftop при активном в NM wwan0 и ppp0

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 20 май 2015, 09:21

Сегодня при включении ПК модем определился как ppp0.
Сейчас запущена только Opera.
Посылаю выхлоп iftop на интерфейсе ppp0.
ppp0.png

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 22 май 2015, 14:05

Еще раз хочу четко сформулировать вопросы, на которые не могу найти ответа:
1.Почему модем один раз инициализируется как интерфейс ppp0, а другой раз - как wwan0,
при одинаковых начальных условиях?
2.Почему при инициализации в качестве ppp0 соотношение между входящим и исходящим
трафиками классическое, а при инициализации в качестве wwan0 исходящий трафик
в 2...3 раза превосходит входящий?

Аватара пользователя
Barmalei
Сообщения: 5470
Зарегистрирован: 29 дек 2014, 15:45
Operating system: Rosa Fresh R12 Plasma 2021.1 x64

Re: Подозрительный трафик

Сообщение Barmalei » 22 май 2015, 16:21

Мне кажется что wwan0 он работает в режиме сетевой карты, а ppp0 в режиме модем.
Отсюда и трафик наверное сетевой какой то.

Переведите его в режим только модем.

PastorDi
Сообщения: 2743
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Подозрительный трафик

Сообщение PastorDi » 22 май 2015, 16:55

Barmalei писал(а):Мне кажется что wwan0 он работает в режиме сетевой карты, а ppp0 в режиме модем.
Отсюда и трафик наверное сетевой какой то.

Переведите его в режим только модем.
Тут http://unix.stackexchange.com/questions ... 0-vs-wwan0 написано в чём разница между wwan0 и ppp0.

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 05 июн 2015, 12:33

Вот посмотрите статистику.
wwan0.png
Я не понимаю, в какое АНБ я отправил почти Гиг трафика.
У кого-нибудь такое наблюдается?

Аватара пользователя
VictorR2007
Сообщения: 7251
Зарегистрирован: 12 сен 2011, 13:00
Operating system: ROSA 2023.1

Re: Подозрительный трафик

Сообщение VictorR2007 » 05 июн 2015, 14:09

Arbichev писал(а):Я не понимаю, в какое АНБ я отправил почти Гиг трафика.
У кого-нибудь такое наблюдается?
Да, у меня такое постоянно.
Если запущен медиа сервер, и просматриваю файлы на ТВ.
Так же, когда торрент на раздаче.
Приложу картинку, где запустил просмотр видео на телевизоре.
З.Ы.
Чтобы было меньше исходящего трафика, я устанавливаю плагин ghostery для firefox.
Он блокирует отправку информации с компа.
Вложения
mediaout.jpeg

Аватара пользователя
Arbichev
Сообщения: 170
Зарегистрирован: 01 апр 2013, 09:55
Operating system: openSUSE 12.3 x86_64

Re: Подозрительный трафик

Сообщение Arbichev » 05 июн 2015, 15:55

Я понимаю, о чем вы говорите. Но у меня медиасервер не запущен,
торренты не запущены, вообще кроме браузера ничего такого, что должно лезть в сеть, не запущено.
А исходящий трафик все-равно прет.

PastorDi
Сообщения: 2743
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Подозрительный трафик

Сообщение PastorDi » 05 июн 2015, 18:52

Arbichev писал(а):Я понимаю, о чем вы говорите. Но у меня медиасервер не запущен,
торренты не запущены, вообще кроме браузера ничего такого, что должно лезть в сеть, не запущено.
А исходящий трафик все-равно прет.
Может и драйвер сетевухи флудит. Были такие прецеденты когда-то.

Ответить

Вернуться в «Обсуждение ROSA Fresh R4 - R8 (платформа 2014.1)»