Oggi mi sono accorto che il traffico che io genero è anomalo rispetto ai giorni scorsi. Non solo, a browser completamente inutilizzato su una qualsiasi pagina (sia su questa che su altre, anche solo testuali) mi continua a generare traffico, sia in entrata che in uscita. Il comportamento lo trovo strano perché nelle verifiche passate tutto è sempre risultato nella norma. Lungi da me pensare che si trattti di qualche virus, poichè le operazioni che io compio non mi faranno mai prendere un virus sui sistemi Windos (degli altri ovviamente, io non lo possiedo) figuriamoci su Linux, e lungi (anche se le probabilità sono maggiori) anche dal pensare che il mio pc è stato in qualche modo manomesso. Mi servirebbe un programma che riuscisse a determinare cosa sta generando tutto il traffico internet sia in entrata che in uscita. Anche un programma da terminale mi va bene, magari che mi salva il controllo in un file di log.
Devi installare WireShark.
In una rete di calcolatori è normale che questi comunichino fra loro e generino del traffico.
Se il problema è sulla tua fedora, hai controllato di non avere altri software che si connettono al web aperti? O che non sia abilitato il sistema di controllo degli aggiornamenti automatico?
[quote=MarioS]In una rete di calcolatori è normale che questi comunichino fra loro e generino del traffico.
Se il problema è sulla tua fedora, hai controllato di non avere altri software che si connettono al web aperti? O che non sia abilitato il sistema di controllo degli aggiornamenti automatico?[/quote]
Non ho gli aggiornamenti automatici attivato (anche perché io aggiorno solo il necessario).
Ho provato a caricare la stessa pagina con tre browser, Opera, Firefox e Konqueror disattivando il caricamento delle immagini e tutti i plugin e sia con Opera che con Firefox il traffico continua anche dopo aver caricato la pagina in maniera veramente anomala, con Konqueror solo un pochetttino di più. Il comportamento è strano perché questo controllo lo faccio ogni tanto e finora tutto è sempre stato ok. Per dirla in breve, senza aver navigato per diversi minuti (facevo altro) a browser lasciato aperto su una pagina assolutamnente innoqua da questo punto di vista e senza interagire con esso, mi sono trovato con un traffico di centinaia di MB in più (ebbene sì, ho effettuato un controllo di routine o almeno così speravo che fosse).
Darò una occhiata a wireshark.
prova “nethogs” è un tools da riga di comando semplice da usare che mostra i processi che accedono alla rete se cerchi su google trovi facilmente info
Sto provando sia wireshark che nethogs. Spero di cavarci qualcosa in breve tempo.
Ho controllato il traffico senza nessun browser avviato e sembra che tutto rimanga immutato.
Ho controllato il traffico con il solo Opera avviato ma senza caricare nessuna pagina ed ho avuto solo un piccolo incremento di traffico, forse a causa della pagina di accesso rapido.
Ho fatto diverse prove caricando sempre la stessa pagina e sembra che all’incirca tutto rientrerebbe nella norma.
Certo che Wireshark è un po’ ostico da decifrare e mi sono limitato a verificare un pochettino gli indirizzi a cui mi collegavo, senza riuscire a capire quale programma fosse. Con nethogs ho verificato che solo il browser genera traffico e a volte anche il servizio kio_http di Kde sulla stessa interfaccia internet.
A questo punto potrebbe anche darsi che in realtà il browser stava continuando a lavorare in background anche se apparentemente non c’era nessun segno di attività.
Speriamo che sia così.
Comunque altri suggerimenti sono sempre ben accetti.
un ottimo tool è netcaview, provalo.
Analizzando il traffico con wireshark, mi ritrovo spesso con la voce node-nsy.pool-1-2.dynamic.totbb.net associato al mio indirizzo locale, sia come source che come destination. Qualcuno di voi mi può dire qualcosa in più al proposito?
Ti trovi in Thailandia?
[mario@benemerita ~]$ host node-nsy.pool-1-2.dynamic.totbb.net
node-nsy.pool-1-2.dynamic.totbb.net has address 1.2.248.130[mario@benemerita ~]$ jwhois 1.2.248.130
[Interrogando whois.arin.net]
[Redirezione verso whois.apnic.net]
[Interrogando whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-5]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 1.2.128.0 - 1.2.255.255
netname: TOT-AS-AP
descr: TOT Public Company Limited
descr: Zone A, 6th Floor, Building 1
descr: Swicthing and Network Interconnection System Standard Sector
descr: TOT Public Company
descr: 89/2 Moo 3 Chaengwatthana Road
country: TH
admin-c: pa82-ap
tech-c: ag100-ap
mnt-by: APNIC-HM
mnt-lower: MAINT-TH-TOT
mnt-routes: MAINT-TH-TOT
mnt-irt: IRT-TOT-TH
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20110408
source: APNIC
route: 1.2.224.0/19
descr: TOT Public Company Limited
origin: AS23969
mnt-by: MAINT-TH-TOT
changed: [email protected] 20120313
source: APNIC
person: Pansak Arpakajorn
nic-hdl: PA82-AP
e-mail: [email protected]
address: TOT Public Company Limited
address: 89/2 Moo 3 Chaengwattana Rd, Laksi,Bangkok 10210 THAILAND
phone: +66-2574-9178
fax-no: +66-2574-8401
country: TH
changed: [email protected] 20050720
changed: [email protected] 20100507
mnt-by: MAINT-TH-TOT
source: APNIC
person: Apipol Gunabhibal
nic-hdl: AG100-AP
e-mail: [email protected]
address: TOT Public Company Limited
address: 89/2 Moo 3 Chaengwattana Rd, Laksi, Bangkok 10210 THAILAND
phone: +66-2574-9178
fax-no: +66-2574-8401
country: TH
changed: [email protected] 20110215
mnt-by: MAINT-TH-TOT
source: APNICPreferisco pensare che stai interpretando male l’output di wireshark, perche altrimenti…
non voglio neanche dirlo. :white:
netstat -natppotrebbe dare informazini utili, specialmente se eseguito nel momento in cui wireshark rileva l’anomalia.
in ogni caso:
rpm --verify --all
yum install chkrootkit
yum install yum-plugin-verifye spero di fare una brutta figura.
non è che per caso usi la rete tor?
Farò una prova con una distro live stampata su DVD e vediamo che cosa ne esce fuori.
Non uso tor, non è nemmeno installato.
Avevo effettuato delle ricerche e mi sembrava strano che risultasse la thailandia. Speriamo di non dover reinstallare tutto quanto.
[quote=romulus]Preferisco pensare che stai interpretando male l’output di wireshark, perche altrimenti…
non voglio neanche dirlo. :white:
[/quote]
…cioè?
Ho controllato stamattina e poco fa con una live sembra tutto ok, nel senso che collegato qui a fedoraitalia il traffico avviene solamente tra fedoraitalia e il mio indirizzo locale. Magicamente direi. Sorveglierò.
Fedoraonline.
[quote=romulus]Preferisco pensare che stai interpretando male l’output di wireshark, perche altrimenti…
non voglio neanche dirlo. :white:
[/quote]
E’ vero, non ti preoccupare, dì pure che cosa pensi senza mezzi termini.
Non lo so se ho male interpretato i risultati, del resto non conosco affatto il programma, ma so solo che quell’indirizzo mi compariva ogni volta che navigavo a fianco del mio indirizzo locale (numerico), anche se non contemporaneamente.