Вопрос или проблема
В данный момент я сталкиваюсь с выводом Nethogs, потому что (при использовании кумулятивного вида, с m, или при запуске через nethogs -v 1) я вижу строку вроде этой:
PID USER PROGRAM DEV SENT RECEIVED
? root SRV_IP_ADDR:80-110.42.X.Y:7001 2345 1234 KB
Встревоженный (IP-адрес находится в Китае, после выполнения online определения местоположения GeoIP), я попытался проанализировать ситуацию (даже выполняя tcpdump и пытаясь проанализировать это с помощью WireShark).
В конце концов, мне удалось понять, что (надеюсь) это я сам являюсь причиной увеличения числа переданных/полученных байтов, потому что на моем ПК я пытался выполнить watch -n 0.1 curl SRV_IP_ADDR:80 и при выполнении этого, числа увеличиваются. Когда я останавливаю curl, числа перестают увеличиваться.
Странно то, что и я, и сервер находимся в Италии.
Я попытался выполнить tracepath, как с моего ПК на сервер, так и с сервера на мой ПК, и нигде этот странный IP-адрес не отображается.
Потом я попытался запустить еще один экземпляр nethogs -v 1 (в кумулятивном режиме) с моим процессом curl, и он начал агрегировать HTTP-трафик на мой IP.
Таким образом, кажется, что nethogs -v 1 “прикрепляет” статистику к первому удаленному IP, который пытается подключиться к моему серверу как-то… Но я хотел бы быть уверен в этом.
ЗАМЕТКА: Используется версия nethogs 0.8.5-2build2.
Вкратце: Кажется, что запуск Nethogs в режиме кумулятивного вида (nethogs -v 1) как-то “прикрепляет” весь трафик К конкретному локальному порту к первому IP-адресу, с которым он сталкивается, общаясь на этом порту. Это правильно? Или мне стоит быть встревоженным?
Спасибо.
Ответ или решение
Ваша ситуация с Nethogs действительно представляет интересный феномен. Если резюмировать, вы наблюдаете, что в режиме кумулятивного вида (nethogs -v 1) программа отображает трафик, привязывая его к странному IP-адресу, находящемуся в Китае. Однако, вы отметили, что сервер и клиент находятся в Италии, и таким образом, эта привязка кажется подозрительной.
Что такое Nethogs?
Nethogs — это инструмент для мониторинга сетевого трафика, который показывает использование полосы пропускания на основе процессов. При запуске с ключом -v 1, Nethogs сводит трафик по соединениям, агрегируя данные.
Возможные причины проблемы
Ваша гипотеза о том, что Nethogs может "прикреплять" статистику к первому IP-адресу, с которым устанавливается соединение, представляется вероятной. Это может быть связано с некоторыми механизмами работы инструмента, который неправильно интерпретирует данные в режиме кумулятивного анализа. Ваша ситуация могла произойти из-за:
-
Ошибки в работе Nethogs: Вероятно, это связанно с особенностями обработки данных в версии
0.8.5-2build2. Подобные аномалии могут происходить из-за ошибок в старых версиях программного обеспечения. -
Анализ заголовков пакетов: Nethogs, возможно, ошибочно интерпретирует часть заголовков пакетов как IP-адреса.
-
Временное соединение: Возможно, на порту раньше было соединение с указанным китайским IP-адресом, и в кумулятивном режиме информация смешивается.
Рекомендации по диагностики
-
Обновите Nethogs: Попробуйте обновить инструмент до последней версии. Это поможет устранить возможные баги.
-
Дополнительный анализ трафика: Поскольку вы уже использовали
tcpdumpи WireShark, еще раз перепроверьте экспортированные данные, акцентировав внимание на моментах, когда Nethogs демонстрирует аномалии. -
Проверка конфигурации сети: Убедитесь, что никакие автоматические правила или настройки в сети не перенаправляют ваш трафик через прокси-серверы или другие сетевые узлы, которые могут изменять заголовки в пакетах.
-
Запросите обновленную поддержку: Обратитесь в сообщество пользователей Nethogs или в поддержку для выяснения известности такой проблемы.
Заключение
Нет неотложных оснований для тревоги, если обе стороны находятся в Италии и не было никаких необъяснимых инцидентов с безопасностью или соединениями за пределами контролируемых точек. Однако всегда полезно оставаться бдительным и проверять свои инструменты и методы анализа на актуальность и достоверность. Если сомнения остаются, консультация со специалистом может помочь установить прозрачность и надежность сетевых соединений.