Откуда летит траффик

[varuh]

Здравствуйте! На мой комп постоянно идет траффик из локальной сети, до недавнего времени закрывал на это глаза, но несколько дней назад он начал не капать как прежде 2-10 Кбайт/с, а прям-таки литься со скоростью порой до 500 Кбайт/с. Стало меня это смущать, хоть и исходящего при этом нет совсем.
Ситуация следующая: Ubuntu 9.10, kernel-2.6.31-14, один сетевой интерфейс ppp0, местная локальная сеть 10.x.x.x, комп смотрит только в нее, т.е. на нем все замыкается и к нему ничего не подключено. Админ когда устанавливал интернет, линукс увидел впервые(тихо, не смеяться! здесь село у нас) и не смог сделать как у остальных пользователей авторизацию по логин-паролю, а сделал таким образом, что подключение происходит автоматически. При этом не работает DC++ и игровые сервера имеющиеся в локалке. Я не могу зайти на http://10.0.10.1:8080 чтобы посмотреть свою статистику. Когда установил программу darkstat та отказалась работать видимо по этой-же причине.
Когда в менеджере сети отключаю соединение "auto eth0" - интернет отключается, но траффик как летел, так и продолжает лететь.
Админские серваки, равно как и компы остальных 216-ти пользователей в нашем селе работают под управлением угадайте чего? Правильно! Линукса здесь в глаза никто не видел, да и сам админ настраивая у меня дома комп пол-часа висел на своем телефоне и вводил команды под дитовку кого-то из знакомых линуксоидов из города.
Подскажите кто знает, как бы проверить откуда(с каких компов/портов) и по какой причине валит столько траффика, а главное как это безобразие устранить? На всякий случай вот:

Код: Выделить всё

user@desktop:~$ sudo ifconfig -a
[sudo] password for user:
eth0      Link encap:Ethernet  HWaddr 00:18:f3:91:bd:eb
          inet addr:10.40.100.216  Bcast:10.40.103.255  Mask:255.255.252.0
          inet6 addr: fe80::218:f3ff:fe91:bdeb/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7557559 errors:0 dropped:0 overruns:0 frame:0
          TX packets:61017 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:2593471152 (2.5 GB)  TX bytes:8443486 (8.4 MB)
          Прервано:16

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

user@desktop:~$ sudo route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
10.40.100.0     0.0.0.0         255.255.252.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.40.100.1     0.0.0.0         UG    0      0        0 eth0
user@desktop:~$

А может как-нибудь можно сделать, чтобы полноценно пользоваться DC++? А? А то от админа помощи ждать бессмысленно, я тут один линуксоид, и то не опытный.

[blackdevil]

А чем Вы измеряете количество и скорость этого неуловимого входящего трафика?

[BIgAndy]

Подскажите кто знает, как бы проверить откуда(с каких компов/портов) и по какой причине валит столько траффика, а главное как это безобразие устранить?

wireshark
ethereal
tcpdump

[varuh]

А чем Вы измеряете количество и скорость этого неуловимого входящего трафика?

1.Система-Администрирование-Системный монитор-Использование сети
2.Система-Администрирование-Сетевые инструменты-Устройства-eth0(тут в статистике интерфейса постоянно идут пакеты даже при выключенном интернете)
3.Вывод #ifconfig eth0

[blackdevil]

wireshark
ethereal
tcpdump

с какого ip идет этот трафик? Может это loopback пакеты какие-то или от другой машины в Вашей квартире?

[varuh]

вот вывод работы tcpdump приблизительно за 2 минуты при отключенном интернете:

Код: Выделить всё

user@desktop:~$ sudo tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:47:08.248355 ARP, Request who-has 10.40.103.245 tell 10.40.100.179, length 46
22:47:08.250724 IP 10.40.100.216.53790 > 10.40.100.1.domain: 40997+ PTR? 245.103.40.10.in-addr.arpa. (44)
22:47:08.263314 ARP, Request who-has 10.40.103.246 tell 10.40.100.179, length 46
22:47:08.282868 ARP, Request who-has 10.40.103.247 tell 10.40.100.179, length 46
22:47:08.284680 IP6 fe80::4d11:d06:54b6:6ba1 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
22:47:08.284699 IP6 fe80::4d11:d06:54b6:6ba1 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
22:47:08.285281 IP 10.40.103.250 > 224.0.0.252: igmp query v2 [gaddr 224.0.0.252]
22:47:08.292040 IP 10.40.100.83.65275 > 239.255.255.250.1900: UDP, length 133
22:47:08.301958 ARP, Request who-has 10.40.103.248 tell 10.40.100.179, length 46
22:47:08.310228 ARP, Request who-has 10.40.103.249 tell 10.40.100.179, length 46
22:47:08.325855 ARP, Request who-has 10.40.103.250 tell 10.40.100.179, length 46
22:47:08.340492 IP 10.40.100.162 > 224.0.0.252: igmp v2 report 224.0.0.252
22:47:08.341468 ARP, Request who-has 10.40.103.251 tell 10.40.100.179, length 46
22:47:08.364767 ARP, Request who-has 10.40.103.252 tell 10.40.100.179, length 46
22:47:08.376600 ARP, Request who-has 10.40.103.253 tell 10.40.100.179, length 46
22:47:08.376992 IP 10.40.102.27.63765 > 239.255.255.250.3702: UDP, length 656
22:47:08.394610 ARP, Request who-has 10.40.103.254 tell 10.40.100.179, length 46
22:47:08.404325 IP 10.40.100.179.1756 > 10.40.103.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
22:47:08.430637 ARP, Request who-has 10.40.100.73 tell 10.40.100.147, length 46
22:47:08.452612 IP 10.40.100.113.netbios-ns > 10.40.103.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:47:08.459239 IP 10.40.100.1.domain > 10.40.100.216.53790: 40997 NXDomain 0/1/0 (121)
22:47:08.502870 IP 10.40.100.26.netbios-ns > 10.40.103.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:47:08.502877 IP6 fe80::4d11:d06:54b6:6ba1 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
22:47:08.559744 IP 10.40.100.216.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 245.103.40.10.in-addr.arpa. (44)
22:47:08.674638 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:25:11:29:c1:7a (oui Unknown), length 300
22:47:08.674645 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:25:11:29:c1:7a (oui Unknown), length 311
22:47:08.674804 IP 10.40.100.2.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 300
22:47:08.674812 IP 10.40.100.2.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 300
22:47:08.675697 IP 10.40.100.176.netbios-ns > 10.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
^C^C22:47:08.683109 ARP, Request who-has 10.40.100.163 tell 10.40.100.211, length 46

30 packets captured
3035 packets received by filter
0 packets dropped by kernel
user@desktop:~$

никакой другой машины в квартире нет, к компу не подключено никаких устройств/компов/модемов, в наличии одна сетевая карта и utp-кабель идущий от свича на крыше пятиэтажки. От этого свича питаются все клиенты, находящиеся в этом доме. Адрес сервера 10.40.100.1
Трафик прилетает только от интерфейса eth0, если в Система-Администрирование-Сетевые инструменты-Устройства выставить замкнутый интерфейс (LO), то в графах "получено пакетов" и "получено байт" пребывают нули; как только переключаешь на eth0 в этих графах отображается монотонно и постоянно поступающий трафик даже при выключенном интернете.
Поставил wireshark, послушал eth0, но вывод мне крайне не понравился - какие-то другие юзеры из нашей сети, виндовые хосты, mail.ru фигурирует хоть я им вообще не пользуюсь, и вся эта каша валится в окошке программы.

[blackdevil]

22:47:08.502870 IP 10.40.100.26.netbios-ns > 10.40.103.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:47:08.675697 IP 10.40.100.176.netbios-ns > 10.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Кажется это виндовые машины "анонсируют" себя и свои шары в Вашей локальной сети. Вот тут чуть подробнее: ссылка.
У Вас samba настроена?

[varuh]

Да, самба у меня настроена, я догадывался, что так оно и есть, вывод wireshark мне об этом громко заявил, я видел в выводе wireshapk-a ники юзеров нашей локалки, которые я мог лицезреть через gnome commander-SMB, видел версии операционок вражеской оси этих юзеров, видел куда они(юзеры нашей локалки) ходят; но какого спрашивается ..... этот их трафик идет через меня? И как мне настроить DC++ и прочее в нащей локалке?
А может при этом я не совсем разобрался и при действующем DC++ в локалке такой трафик норма? Помогите.

[blackdevil]

Ну почему же "через Вас" этот трафик идет? Он не через Вас идет, это просто широковещательные запросы, они на все хосты в локалке идут. Ну а как настроить локалку и интернет одновременно - тут обсуждалось уже неоднократно. Воспользуйтесь поиском по разделу внизу страницы. Вам нужна команда route.

[varuh]

Благодарствую, просто не понимал этих самых особенностей локалки. Пошел искать как все вместе настроить.