私の仕事では、Googleが何かを検索しようとすると、迷惑なCAPTCHAに遭遇することがあります。
そのページに達すると、ネットワークがすばやく Google に複数回アクセスしようとしているというメッセージが表示されます。コンピュータがバックグラウンドで実行され、Googleや他のホストに対して何かをしようとしているウイルスやスクリプトの種類に感染していると思われます。
ネットワーク上の不良ノードを見つけるためにLinuxでどのツールを使用できるか、またはこの問題のデバッグを開始する方法を知りたいです。
答え1
おそらく、犯人を見つけるために最初にtcpdumpを使用します。
Linuxを実行しているルーターがある場合(多くの場合)、通常はルーターから直接tcpdumpを実行できます。
そうでない場合は、ルーターと同じネットワーク上のPCでtcpdump(またはWireshark)を実行してみてください。イーサネットスイッチが常にすべてのトラフィックをすべてのポートにコピーするわけではないため、これは常に機能するわけではありません。この場合、コンピュータをルータとして設定し、外部ルータと内部ネットワークの間に配置してから、そのコンピュータでtcpdumpを実行できます。
あるいは、移行を行わない古いイーサネットハブを見つけることもできます。私はこの目的のためにツールバッグに古いものを保管しています!
確実にtcpdumpを実行し、ネットワークから出てくるネットワークトラフィックを見ることができる場所を見つけたら、まず次のようにGoogleのIPアドレスを見つけます。
$ host google.com
google.com has address 74.125.21.100
google.com has address 74.125.21.113
google.com has address 74.125.21.138
google.com has address 74.125.21.139
google.com has address 74.125.21.101
google.com has address 74.125.21.102
google.com has IPv6 address 2607:f8b0:4002:c06::8b
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
これらの 74.125.21.X アドレスは、ネットワークの視点と異なる場合があります。 tcpdump でこれらのアドレスにアクセスするトラフィックを見つけるには、次のコマンドを使用します。
tcpdump dst host 173.194.219.113 or dst host 173.194.219.139 or dst host 173.194.219.100 or dst host 173.194.219.138 or dst host 173.194.219.102 or dst host 173.194.219.101
これで、快適に座っているホストが他のホストよりもGoogleを使用していることを確認できます。
tcpdumpの出力をファイルにダンプし、いくつかのスクリプトを使用して後でソートできます。次のようにtcpdumpをtmpに保存します(...を上記の引数リストに置き換えます)。
tcpdump ... > /tmp/x
その後、しばらく実行してください。次に、これを使用して、Googleの最大のユーザーが誰であるかを確認します。
awk '{ print $3 }' /tmp/x | uniq -c | sort -n
これらすべての難しい部分は、tcpdumpを実行し、すべてのネットワークトラフィックを表示できるシステムを確保することです。