请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 1607 天前的主题,其中的信息可能已经有所发展或是发生改变。
设备信息
型号 DS220+,DSM7.0,两根网线,LAN1 LAN2
具体情况
每个小时的第 15 分钟开始到第 25 分钟之间,LAN1 和 LAN2 交替以 2MB/s ( 16Mbps )的速度向外发送数据,10 分钟发送了大约 1.2G 的数据,实在想不明白到底什么服务需要对外发送这么大量的数据。
下图是监控数据。
已排除的可能
-
FRP,frp 的相关穿透配置仅限于 LAN1 的地址,未对 LAN2 的地址有任何穿透转发。看发送情况是 LAN1 和 LAN2 交替发送。
-
OneDrive 的同步,没有这么大的同步量,这几个周期发送了好几十 G 的数据了,OneDrive 同步任务可以排除。
-
相关 Docker 容器的网络发送,只有 FRP 容器两个。qinglong 容器一个。
-
Synology Active Insight,这玩意定期上产系统的运行信息,按理说不可能发送这么巨大的流量。
其他问题
DSM7.0 Universal Search 应用点击 检查索引数据库,会一直检查,导致 CPU 在数天内持续占用 50%左右,手动取消后占用恢复正常。
我使用 iftop 未定位到原因。各位有什么排查策略吗?
第 1 条附言 2021-07-26 10:04:21 +08:00
更新一下,找到问题了是MacBook时间机器备份的问题,虽然不太清楚为什么时间机器开始备份前NAS会向MacBook持续发送那么多数据。
根据老哥们的建议,没有抓包,使用docker起了个iftop容器,挂到了host网络,查看eth0的所有网络情况。
- 整点10分的时候,发现NAS起了一个445端口,持续向内网的某台机器发送数据。大约10-18Mbps的速率。
└──────────────────────────┴──────────────────────────┴───────────────────────────┴──────────────────────────┴─────────────────────────── 192.168.0.108:445 => 192.168.0.104:59429 12.1Mb 7.28Mb 6.51Mb <= 30.6Mb 16.2Mb 14.2Mb - 定位端口445为smb端口
ash-4.4# netstat -pantu | grep 445 tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 9877/smbd tcp 0 4180 192.168.0.108:445 192.168.0.104:59429 ESTABLISHED 19533/smbd tcp 0 0 192.168.0.105:445 192.168.0.104:61335 ESTABLISHED 5952/smbd tcp6 0 0 :::445 - 查看MacBook的时光机器,发现每小时的定时备份的开始时间为整点第10分钟开始。
第 2 条附言 2021-07-26 10:04:25 +08:00
更新一下,找到问题了是MacBook时间机器备份的问题,虽然不太清楚为什么时间机器开始备份前NAS会向MacBook持续发送那么多数据。
根据老哥们的建议,没有抓包,使用docker起了个iftop容器,挂到了host网络,查看eth0的所有网络情况。
- 整点10分的时候,发现NAS起了一个445端口,持续向内网的某台机器发送数据。大约10-18Mbps的速率。
└──────────────────────────┴──────────────────────────┴───────────────────────────┴──────────────────────────┴─────────────────────────── 192.168.0.108:445 => 192.168.0.104:59429 12.1Mb 7.28Mb 6.51Mb <= 30.6Mb 16.2Mb 14.2Mb - 定位端口445为smb端口
ash-4.4# netstat -pantu | grep 445 tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 9877/smbd tcp 0 4180 192.168.0.108:445 192.168.0.104:59429 ESTABLISHED 19533/smbd tcp 0 0 192.168.0.105:445 192.168.0.104:61335 ESTABLISHED 5952/smbd tcp6 0 0 :::445 - 查看MacBook的时光机器,发现每小时的定时备份的开始时间为整点第10分钟开始。
 | 1 xtx 2021-07-25 17:28:34 +08:00 via iPhone lan1,lan2 分别连的什么? |
 | 3 sutking 2021-07-25 17:35:07 +08:00 排除法,先排除硬件拔一根网线留一根,看情况,然后再把另外一根插上,拔掉之前没拔的那一根,看情况;然后软件,把服务、进程挨个停掉,观察。 |
 | 4 wtks1 2021-07-25 17:38:38 +08:00 via Android 是不是装了迅雷相关的软件? |
 | 5 SaberJack 2021-07-25 17:39:57 +08:00 能通过上级路由器看下流量包不 能的话就可以分析出来了 |
 | 6 Junzhou OP |
 | 7 wangkai0351 2021-07-25 17:46:36 +08:00 不知道群晖现在安全性做的如何,注意排查 |
 | 9 ByteCat 2021-07-25 18:18:37 +08:00 从路由器里面看不行吗,我用的高恪都可以看到数据流向 |
 | 11 512357301 2021-07-25 18:28:51 +08:00 via Android  1 有个笨办法,换端口,并且只限制某几个端口可以连外网,类似于 vps 的安全组。 我之前在 aws 搭的 win10 就出现过这种情况,怀疑是被当成肉鸡了,后来在安全组限制入站端口后,瞬间风平浪静,(不过最终也不确定是什么原因导致的,也可能是 win10 自动更新的锅) aws ec2 每月限制 15G 的进和出流量,我当时竟然能跑满。。。,限制端口后,每个月顶天了 8 个 G |
 | 13 gBurnX 2021-07-25 19:02:02 +08:00 2 上面都在答些啥。 iptraf -> netstat 找到进程。 |
 | 14 SZP1206 2021-07-25 19:03:00 +08:00 via Android 有点好奇,期待下后续 |
 | 15 matrix67 2021-07-25 21:39:45 +08:00 1 可以使用 tcptrack tcptrack -i eth0 。 直接定位出那个端口,以及连的 ip+port 实时速率。 或者使用 nethogs 。不过这个好像是看瞬时值的。要在你抓到流量大的时候启动它,把相关进程打出来。 |
| 16 matrix67 2021-07-25 21:42:09 +08:00 1 或者 tcpdump -s 80 就采样 dump 一下包,然后丢到 wireshark 里面看那个 ip+端口占的数据最多。 楼上说的 iptraf 也是一条路子。 |
 | 17 darkaforest 2021-07-25 21:51:20 +08:00 1 直接 tcpdump 出来用 wireshark 看看不就一目了然了吗,建议敏感数据直接脱离物理网络存储,最好再加上物理防护措施。 如果觉得不值得这么干,那说明其实也没多敏感,随便它偷着往外传啥吧。 |
 | 18 ly841000 2021-07-25 22:14:59 +08:00 大家都好友善,国内厂商的话不被骂上天?!!!!!! |
 | 19 PrinceofInj 2021-07-25 22:34:26 +08:00 1 @ly841000 两大 NAS 厂家都是台企,如果用来存储敏感数据,最好还是做好防范。 |
 | 20 geniussoft 2021-07-25 22:39:30 +08:00 @ly841000 群晖算是非常有操守的企业了,相对来说。 这边 FRP 、OneDrive 都开着,就认为一定是群晖的锅,这个推测不合理吧。 |
 | 21 vmebeh 2021-07-25 23:43:38 +08:00 via iPhone 台积电、Nvidia 也是台企,你用的 CPU 、GPU 自带后门!!!!! |
| 22 wangkai0351 2021-07-26 09:14:06 +08:00 @vmebeh 要是这么较真,万物皆带后门,台积电、Nvidia 敢反驳这句话吗? |
 | 23 yesfirst 2021-07-26 09:21:44 +08:00 这个监控数据在哪里可以看? 我是 dsm6 没找到么 |
| 24 Junzhou OP 1 @SZP1206 更新一下,找到问题了是 MacBook 时间机器备份的问题,虽然不太清楚为什么时间机器开始备份前 NAS 会向 MacBook 持续发送那么多数据。 根据老哥们的建议,没有抓包,使用 docker 起了个 iftop 容器,挂到了 host 网络,查看 eth0 的所有网络情况。 整点 10 分的时候,发现 NAS 起了一个 445 端口,持续向内网的某台机器发送数据。大约 10-18Mbps 的速率。 └──────────────────────────┴──────────────────────────┴───────────────────────────┴──────────────────────────┴─────────────────────────── 192.168.0.108:445 => 192.168.0.104:59429 12.1Mb 7.28Mb 6.51Mb <= 30.6Mb 16.2Mb 14.2Mb 定位端口 445 为 smb 端口 ash-4.4# netstat -pantu | grep 445 tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 9877/smbd tcp 0 4180 192.168.0.108:445 192.168.0.104:59429 ESTABLISHED 19533/smbd tcp 0 0 192.168.0.105:445 192.168.0.104:61335 ESTABLISHED 5952/smbd tcp6 0 0 :::445 查看 MacBook 的时光机器,发现每小时的定时备份的开始时间为整点第 10 分钟开始。 |
 | 26 Ravencus 2021-07-26 10:23:38 +08:00 好像不止是开始备份前。time machine 备份的过程中 mac 上也会有间歇性的流量下行。 |
 | 27 littlewing 2021-07-26 11:52:55 +08:00 从你的描述中我一直以为是向外网发送流量。。。。 |
| 28 Junzhou OP @littlewing 最开始也没有确认流向。。。 |
 | 29 tankren 2021-07-26 13:27:43 +08:00 shell 里面看看 top 呢 |
 | 30 smileawei 2021-07-26 14:25:35 +08:00 看看是不是装了迅雷系列的下载工具。之前有装过“玩物下载” 。然后就发现上传不正常 |
 | 31 lifanxi 2021-07-26 23:33:57 +08:00 via Android @Junzhou 用 Docker 跑 iftop 好机智。还有个更原生的玩法,sudo synogear install,有惊喜。 |
| 32 Junzhou OP 操 还能这样啊 一会试试 |
Select Language