不明なIPアドレスはUDP / sunrpcネットワークを多用します。

不明なIPアドレスはUDP / sunrpcネットワークを多用します。

先週の間、私のネットワークモニタリングによると、私のデスクトップコンピュータは定期的にイーサネット接続(eno)を介して〜0.7 MB / sのデータを転送し始めました。

私はネットワークプロトコルについてほとんど知りませんが、どのプロセスがこの過度のネットワーク使用を担当しているのかを理解しようとしました。いくつかの簡単な方法は、ウェブブラウザを閉じたり、Dropboxを終了することです。これらのどれも犯人ではないようです。

また、試してみましたが、nethogsこの使用レベルでネットワークを使用するプロセスは表示されません。それからiptraf-ngUDP/sunrpcこの情報をorと一緒にlsof -i:sunrpc使ってみましたが、lsof -i:111何も得られませんでした。

ipgraf-ngsunrpcの出力をフィルタリングすると、次の結果が表示されます。

Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.77.151:5709
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 160.20.57.123:32421 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 160.20.57.123:32421
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 156.226.101.174:39960 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.101.174:39960
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 103.80.24.127:22853 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 103.80.24.127:22853
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 156.226.125.197:56897 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.125.197:56897
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 103.30.201.131:27703 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 103.30.201.131:27703
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 154.204.194.227:21216 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 154.204.194.227:21216

これらのIPアドレスを検索してみると、そのIPアドレスが私が知っているどのオブジェクトにも関連付けられていないので心配されます。

何が起こっているのかを理解するのに役立つ人はいますか?

答え1

@Bibと@eyoung100が指摘したように、私のコンピュータはDNS攻撃を増幅するために使用されました。rpcbind次のコマンドを使用してサービスを停止および無効にしました。

$ sudo systemctl stop rpcbind
$ sudo systemctl stop rpcbind.socket

そして

$ sudo systemctl disable rpcbind
$ sudo systemctl disable rpcbind.socket

必要ないからです(AFAIK)マイコンピュータの唯一の物理サーバー機能はですnfs4.2

関連情報