nethogs unknown TCP получил большой трафик, как я могу определить процесс?

Вопрос или проблема

Извините, я не очень хорошо говорю по-английски. У меня есть снимок экрана, как этот: введите описание изображения здесь. Как я могу найти процесс? Спасибо.

Ответ или решение

Теория

Чтобы разобраться с проблемой, связанной с огромным трафиком, полученным через Nethogs и неопознанным процессом, необходимо понимать, как Nethogs работает и какие инструменты и методы можно использовать для детального анализа сетевой активности.

Nethogs — это утилита, которая отображает использование сетевого трафика процессами на уровне операционной системы. Она позволяет пользователям отслеживать, какие приложения или процессы "потребляют" сетевой трафик, позволяя таким образом легко определить источники, создающие аномальные нагрузки.

Когда Nethogs сообщает о большом входящем трафике от неизвестного процесса, это может быть результатом нескольких причин:

1. Неопознанные процессы: некоторые процессы могут быть запущены из терминала напрямую без корректного отображения в списке процессов.
2. Нехватка прав доступа: Nethogs может работать без должных привилегий, ограничивающих его возможность ассоциировать сетевые соединения с конкретными процессами.
3. Обфускация или маскировка: некоторые вредоносные программы маскируют свою активность, скрывая процесс под видом системных или безопасных приложений.

Пример

Рассмотрим пример, когда Nethogs показывает неизвестный TCP-трафик. Сразу стоит проверить права доступа, с которыми запущена Nethogs. Запуск утилиты с административными правами (например, через sudo в Linux) может дать более полные результаты. Например:

sudo nethogs

Эта команда позволит Nethogs получить доступ к информации на низком уровне и корректно идентифицировать процессы.

Далее, нужно использовать системные команды Linux, чтобы попытаться идентифицировать источник трафика. Например, команда lsof может помочь:

sudo lsof -i tcp

Эта команда покажет список всех процессов, которые используют TCP, с указанием идентификаторов. Дополнительные команды для идентификации процессов могут включать netstat и ss. Они предоставят полезную информацию о соединениях и слушающих портах:

sudo netstat -tulnp
sudo ss -tulnp

Эти команды показывают, какие процессы привязаны к каким портам.

Применение

Теперь, когда у вас есть основы и примеры, вы можете применить их для решения проблемы. Вот пошаговая инструкция для выявления процесса, который потребляет большой объем TCP-трафика:

1. Запуск Nethogs с повышенными правами: Это даст вашему инструменту полный доступ к сетевым данным, связанным с процессами.

2. Использование вычислительных команд Linux:

   • Проверьте все текущие TCP-соединения, используя lsof, netstat, или ss. Это даст вам представление о том, какие порты активно используются и какими процессами.

3. Анализ полученных данных:

   • Если есть процесс, имеющий неопознанный PID (Process ID), его можно дополнительно исследовать через команду ps:

     ps -p [PID] -o comm,args

     Это позволит узнать название команды и аргументы, с которыми процесс был запущен.

4. Мониторинг подозрительных активностей:

   • Если процесс кажется подозрительным или неизвестным, и нет явных признаков его важности для текущей работы системы, проведите более углубленное исследование. Это может включать просмотр логов системы, таких как /var/log/syslog.

5. Обратитесь к профессионалам:

   • При наличии подозрения на вредоносную активность или аномальный трафик, который вы не можете идентифицировать, рекомендуется обратиться за помощью к специалистам по информационной безопасности. Они могут провести более детальное расследование и предложить решения по укреплению защищенности системы.

Эти шаги помогут не только найти источник большого входящего трафика, но и лучше понять, как в будущем можно предотвращать подобные инциденты и управлять сетевыми ресурсами более эффективно. Работая с Nethogs и системными утилитами, вы не только решаете текущую проблему, но и укрепляете свои навыки управления и анализа сетевой инфраструктуры.