Retrouver les programmes qui ont émis des données sur le rés

Bonjour !

Je vous expose mon problème :
J’ai constaté sur mon réseau interne de gros lags et l’occupation du réseau ne semblant pas venir de mon PC (très peu de données en sortie et en entrée) je me suis connecté en SSH sur mon serveur debian.

J’ai fait quelques “ipfconfig” pour vérifier les débits et il semble que mon serveur émettait une grosse quantité de donnée.
Ne sachant comment identifier rapidement la source, j’ai fait un reboot pour voir et tout est rentré dans l’ordre ensuite.

J’ai un serveur Linux et un PC windows 7 pro branché directement sur ma box. Le serveur linux abrite un Raid de grosse capacité.
Ma box n’est pas du tout configurée, aucun nat de configuré, juste un DHCP simple, donc vraisemblablement pas de connexion venant de l’extérieur.

Comme je ne vois pas ou ont bien pu partir ces données envoyées, comment est ce que je peux savoir le programme qui les a envoyées et quelles sont elles ? (et ca ne vient pas du PC windows pro non plus)
Le serveur apache n’enregistre pas de connexion, le serveur proftpd non plus (aucune autre que celle venant de mon PC perso), j’ai juste regardé les logs…

J’ai depuis installé iptraf pour voir ce qui consomme la bande passante…

Merci de l’aide !

Salut,

pour surveiller l’activité réseau par process, tu peux utiliser nethogs.

Merci !
Le phénomène s’est reproduit ce soir…
Par contre cette fois j’ai réussi a identifier l’IP et le port de connexion… (adresse IP SFR en plein centre de paris…)

La connexion s’est faite sur le port 5000 en UDP.
J’ai cru comprendre que c’était le port pour l’UPNP, mais je n’ai pas l’impression d’avoir quelque chose qui tourne derrière…
Une faille est elle connue ou est ce que j’ai quelque chose par défaut qui a mal été configuré ?

Dans l’urgence, j’ai mis 2 règles de DROP sur toutes les connexion UDP et j’ai activé la DMZ de ma box vers une adresse inconnue sur mon réseau.

Je vais voir si cela se reproduit, mais j’aimerai bien comprendre ce qu’il s’est passé…

J’aime bien aussi :

watch -n 0 netstat -Wp

dans un terminal, en root bien sûr, pour avoir une idée des connections en “temps réél” (par exemple, démarrez Firefox/Iceweasel pour voir quels sites il contacte dès son lancement :stuck_out_tongue: )

(sympa [mono]nethogs[/mono], je ne connaissais pas 8) )

Merci de l’info, par contre je n’ai aucune interface graphique sur ce serveur, il est dans un placard et je n’ai pas de bureau virtuel, je fais tout en ligne de commandes !

nethogs fonctionne en ligne de commande (c’est du ncurses) :wink:

Je parlais de l’astuce firefox :wink: en ligne de commande c’est pas facile :stuck_out_tongue:

c’est juste un exemple, mais à essayer sur un système desktop :stuck_out_tongue:

Salut !
Bon ben je suis un poil embêté, cela vient de se reproduire, malgré les règles de firwall qui interdisent l’UDP et la passerelle ca fuite encore…
Ou alors la connexion est établie directement depuis chez moi… (mais j’interdit bien l’UDP en entrée et en sortie…)

Par contre NetHogs ne voit que ma connexion SSH et IPtraf voir bien la fuite…
Mais nouveauté, le port change ! Et l’IP aussi ! Mais le port 49152 ne me parle vraiment pas… et je n’utilise pas de P2P…

La box ne semble pas non plus voir les données passer (volumes très petits)
Du coup je capte pas comment c’est possible…

Soit IPtraf a un gros bug… Soit tous les autres se trompent ! Mais comment IPtraf pourraient me sortir une IP et une adresse mac si la connexion n’existaient pas ? Et le meilleurs c’est que les tracert aboutissent et les ping répondent…

Ou est-il possible que je soit victime d’une sorte de DDOS ? (plein de connexion UPNP mais vraisemblablement pas vraiment de données qui sortent…)

NetHogs ne se rafraichi peut-être pas assez vite…

J’avoue que je ne sais pas si cela reste du ressort d’un forum d’aide debian, mais j’aimerai comprendre pourquoi mon firewall semble être une passoire !

désactive UPNP sur ton routeur…

euh… “lol” ?
Compte tenu des recherches faites, penses tu que j’ai pu omettre ce point ?
Dans tous les cas, le fait que le routage local à la machine soit une passoire ne répond pas à la question :wink:
On est pas sur une assistance technique de routeur mais sur un forum debian pour savoir pourquoi ca passe alors que l’interdiction est clairement définie… L’explication de la source peut permettre de comprendre le problème, mais le problème vient bien d’un mauvais fonctionnement ou d’une mauvaise configuration de ma part…

Si cela peut aider a avoir une réponse, ou ai-je pu merder ? Traverser mon routeur soit… mais accéder au serveur debian (et pas aux autres 3 machines windows derrière…) c’est un fait !

Quelqu’un a une idée ?

┌ TCP Connections (Source Host:Port) ────────────────────────────────── Packets ───────── Bytes ── Flags ─── Iface ─────┐ │┌localhost.local:ssh > 1783 376312 -PA- eth0 │ │└swoosh-PC.local:51526 > 901 42750 --A- eth0 │ │┌localhost.local:56828 = 49 4450 CLOSED eth0 │ │└villa.debian.org:http = 81 109448 CLOSED eth0 │ │┌debian.proxad.net:http = 5 421 CLOSED eth0 │ │└localhost.local:53738 = 5 539 CLOSED eth0 │ │┌localhost.local:58843 = 39 6602 CLOSED eth0 │ │└224-124-232-198.static.unitasglobal.net:http = 45 30269 CLOSED eth0 │ │┌212.27.32.66:http > 1 52 --A- eth0 │ │└localhost.local:53715 = 0 0 ---- eth0 │ │┌debian.proxad.net:http > 1 52 --A- eth0 │ │└localhost.local:53717 = 0 0 ---- eth0 │ └ TCP: 15 entries ───────────────────────────────────────────────────────────────────────────────────────── Active ─┘

Tu peux éditer ton post précédent et utiliser la balise

Contenu copié/collé

… pour respecter l’alignement en tableau et faciliter la lecture.

C’est fait, par contre c’est plus sur les connexions que sur le contenu que je me pose la question…
C’était juste après le reboot

Bon ben maintenant je vois que ce dernier a téléchargé plus d’un Go en 10 minutes…
Mais rien n’est sorti… et l’occupation disque reste la même…
Je vais péter un plomb !

Je suis en train de me demander si il était possible que mon serveur debian se sente naturellement obligé de faire passerelle pour ma box TV ? (j’ai activé le routage mais pas de règles spécifiques sauf l’interdiction de tous les ports UDP)

Cela pourrait expliquer la connexion depuis paris centre !?

Dans le cas de forward “pur” ifconfig remonte quoi comme donnée de transit ? du Tx ou du Rx ? Il cumule les 2 ou selon il n’en compte d’un des deux ?

Bon, tu as de la place sur ton disque, non ?
Tu sais detecter quand la “fuite” a lieu ?

Si oui, peux-tu faire la commande suivante, la laisser tourner pendant un petit moment, et la couper avec ctrl + C (en fonction de la taille du fichier, en fait) :

tcpdump -i any -n -e port not ssh -w ~/dump.cap

Et ensuite upload le fichier dump.cap pour le mettre à disposition ?
Pour information, le trafic réseau sera enregistrer dans ce fichier, je te susurre donc de ne pas utiliser ton réseau pour un usage normal pendant la commande (enfin, c’est toi qui voit)

j’ai 12 To, essentiellement des rip de DVD / BR que j’ai fais (si on me demande je peux faire un photo de mes étagères :p) et des mp3, il reste encore 6To de libre, par contre si le log part sur le disque système lui est beaucoup plus petit … Il y a un moyen de rediriger le dump ? (je suppose qu’il va dans “~/dump.cap”, si je lance la commande en étant dans un dossier de mon raid le fichier va atterrir la bas ?)

Pour le trafic perso, je m’en fou un peu ! Je vais juste éviter d’uploader mes rip de BR vers mon serveur à ce moment, sinon ca risque d’être gros… (ou petit selon que ca log les connexions et pas les données :p) ou de lire un film…

Par contre, si je lance le truc en ssh et que je coupe la connexion ca va continuer ? je me suis toujours demandé si le “&” continuait de tourner si je coupais le ssh…

Bref, merci de ton aide !
Je ferai ce que tu m’as demandé quand cela se reproduira !

6TB c’est largement assez, un dump de 20MB suffit pour avoir une idée de quoi qui passe

[quote]
Pour le trafic perso, je m’en fou un peu[/quote]
C’est toi qui voit :slightly_smiling:

Ben, si y’a beaucoup de traffic, tu peux le laisser 20sec et c’est bon, pas besoin de le faire tourner la nuit

La ligne que j’tai donné enregistre tout ce qui passe, donc ça va vite pour avoir quelque dizaine de mega

Bon ben en fait je crois que depuis que j’essaye de comprendre la chose, dès le départ c’est mon serveur qui snif mon réseau interne…

Quand je coupe la box TV j’ai des messages

UDP (83 bytes) from localhost.local:20755 to blackhole-2.iana.org:domain (src HWaddr 902b34d042b5) on eth0 │ │ UDP (180 bytes) from blackhole-2.iana.org:domain to localhost.local:20755 (src HWaddr 00xxxxxxxx) on eth0

Et sur iana.org

Soit mon serveur a trouvé bigbrother, soit c’est “normal”

Bon ben en creusant un peu plus le trou…
Mon moyen de détection c’était quand ma box TV lag, ce qui m’a amené au fait que quand j’envoyais beaucoup de données sur le net (grosse PJ de mail ou photo sur ebay etc…) la télé laguait et j’ai malencontreusement fait cette association : lag = envoi de donnée sur internet

Mais des fois ca merde sur la TV quand mon FAI merde (J’ai descendu tous mes serveurs et la télé merdait quand même…) et pas de lien avec l’envoi de données… Sauf que je n’ai regardé cela que quand ca merdait ! En fait la “fuite” est permanente, des fois mon serveur forward les infos de la TV des fois non (pas compris pourquoi…) et c’est juste parce que les données de la télé passent en broadcsat et que mon serveur est est mode routage… Donc il reçoit tout et forward de temps en temps… (presque tout le temps en fait…)

Bilan : pas de fuite de chez moi, mon réseau est “sain”, mais j’ai quand même trouvé bigbrother ! (iana.org)
Et quand c’est iana.org qui merde, ca merde partout…

Par contre nethogs ne voit rien et IPtraf voit tout, il n’accepte pas les connexions mais voit les packets passer… Nethogs ne voit que les connexion établies, c’est pour ca qu’il ne voir pas tout ce que vois IPtraf…