Toneladas de conexiones desconocidas en nethogs

Estoy viendo cientos de conexiones diferentes a la misma dirección IP y puerto de desplazamiento cuando ejecuto nethogs. Ocasionalmente, el IP y puerto externo cambiarán (no siempre 80, pero a veces). Me di count de que el uso de la CPU de mi enrutador aumenta al 100% cuando ocurren estas enormes ráfagas de conexiones, por lo que estoy bastante seguro de que este enorme pico continúa sobrecargando el enrutador y haciendo que mi networking sea inútil por hasta 60 segundos.

wat

Cosas que he intentado:

  • sudo netstat -tulpn | grep $whateverip sudo netstat -tulpn | grep $whateverip : nada
  • sudo netstat --inet -ap | grep $whateverip sudo netstat --inet -ap | grep $whateverip : nada
  • sudo lsof -i | grep $whateverport sudo lsof -i | grep $whateverport : para cuando esto termine, el puerto y el IP han cambiado nuevamente

Esto puede ser solo paranoia, pero te juro que parece que cada vez que trato de profundizar en más información sobre la connection, el puerto y el IP cambian, entonces mi command no me da nada.

¿Estoy lidiando con algo malo viviendo dentro de mi server? ¿O hay alguna explicación más benigna que me falta en mi limitado conocimiento de networkinges?

También tenga en count que este es un server de Ubuntu sin interfaz de usuario, así que no soy yo persiguiendo a alguien simplemente navegando por networkingdit.

Tengo el mismo problema. Lo he resuelto temporalmente filtrando el tráfico saliente a la ip en cuestión, escribiendo el siguiente command:

 sudo iptables -A OUTPUT -d <ip-adress>/24 -j DROP sudo iptables-save 

El "/ 24" significa que solo se preocupa por los primeros tres numbers en la dirección IP. El problema es que sigue volviendo con nuevas direcciones IP. He agregado 12 líneas de este tipo a iptables ahora, y han pasado algunas horas desde una inundación, pero espero que vuelva a suceder mañana por la mañana. Parece intensificarse en la noche / temprano en la mañana (CET) para mí. La mayoría, pero no todos, están ubicados en China. Creo que este artículo podría ser relevante, pero no estoy seguro:

http://www.michael-joost.de/dnsterror.html

Por favor, hágamelo saber si lo resuelve. El siguiente paso para mí es intentar cambiar la contraseña en mi count de root y ver si eso ayuda.