首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
ethusdt
0.01D
V2EX  ›  VPS

VPS 持续高带宽下载却无法定位进程

  •   
  •   ethusdt · 14 小时 26 分钟前 · 790 次点击

    vps

    绿云这个 vps 第三年了,马上就要续费了,一直用着好好的,并且两个月前还换了一次服务器。今天突然出现大量的下载。

    平时跑的程序有 mihomo/frp/docker ,docker 只跑了两个自己的程序。

    出现高下载的时候出现了 virtio_net 内核死锁导致的内核崩溃,系统宕机了 15 分钟,我这时候才发现有高下载问题。

    通过 nethogs 查看 ? root unknown TCP 0.348 35687.941 KB/sec,其余进程(mihomo)的下载都正常的,只有这个 ? 出现大量高下载。

    我尝试过停下 docker/停下 mihomo ,这个下载是存在,并且重启过服务器,重启过后,还是有大量的下载。

    我使用命令 nload eth0 查看确实是在这个网卡上下载。

    并且我使用 htop 命令查看高下载时候并没有任何程序在大量读写 IO 。

    这个大量下载持续了两个半小时,断断续续的,并没有一直高速下载,而是下载一会就停了,过会又开始。

    到现在为止已经有两个小时没有再发生。然而我也没做任何操作。

    我遍历了所有的程序(开机自启),并没有发现可疑程序。并且我一直装着 fail2ban:

    Status for the jail: sshd
|- Filter
|  |- Currently failed:	4
|  |- Total failed:	171
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	3
   |- Total banned:	23
   `- Banned IP list:	217.154.62.22 45.140.17.124 45.135.232.177

    通过上述问题描述,帮我分析下,或者还有哪些工具可以排查一下。

    vnstat 输出:

       eth0 since 2025-09-22

          rx:  532.42 GiB      tx:  316.35 GiB      total:  848.77 GiB

   monthly
                     rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
       2025-10    179.46 GiB |  143.27 GiB |  322.73 GiB |    1.04 Mbit/s
       2025-11    284.93 GiB |  110.78 GiB |  395.71 GiB |    2.69 Mbit/s
     ------------------------+-------------+-------------+---------------
     estimated    584.48 GiB |  227.24 GiB |  811.72 GiB |

   daily
                     rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
     yesterday     10.08 GiB |    9.86 GiB |   19.94 GiB |    1.98 Mbit/s
         today    177.88 GiB |    5.35 GiB |  183.23 GiB |   29.15 Mbit/s
     ------------------------+-------------+-------------+---------------
     estimated    284.61 GiB |    8.56 GiB |  293.18 GiB |
  • VPS
  • 高带宽下载
  • 内核崩溃
    12 条回复    2025-11-16 00:03:19 +08:00
    106npo
        1
    106npo  
       14 小时 10 分钟前
    iftop 能看到网络流量端口
    ethusdt
        2
    ethusdt  
    OP
       14 小时 3 分钟前
    @106npo 试过,看不出有任何问题。只能定位到 IP/端口。没有进程。

    也不像是挖矿程序,cpu 也没燃烧,并且内存也没用。
    106npo
        3
    106npo  
       13 小时 16 分钟前 via Android
    @ethusdt 有端口后 ls of 找不到进程么
    ethusdt
        4
    ethusdt  
    OP
       13 小时 11 分钟前 via iPhone
    @106npo 关键是没有端口…而且有很多 ip ,过滤不到哪一个有高速下载
    106npo
        5
    106npo  
       13 小时 9 分钟前 via Android
    @ethusdt 得在异常时查询有流量的本地端口,然后查端口对应的进程
    zizon
        6
    zizon  
       13 小时 3 分钟前
    看不到 pid 可能是在其他的 pid namespace.
    有现象的时候尝试看看 list 所有的 pid namespace 看看有没有嫌疑的.

    docker images 看看有没什么奇怪的镜像.

    tcpdump 部分流量看看大概是什么协议.

    conntrack 大部分时候能跨 namespace list 出连接状态.
    docx
        7
    docx  
       12 小时 50 分钟前 via iPhone
    实在不行给系统重装一遍就是
    noqwerty
        8
    noqwerty  
       12 小时 42 分钟前 via iPhone
    mihomo 的连接里能看到对应的进程或者地址吗
    dzdh
        9
    dzdh  
       12 小时 39 分钟前
    nethogs
    24owls
        10
    24owls  
       12 小时 31 分钟前
    可以把 `ss -natup` 和 `nft list ruleset` 贴出来看看
    est
        11
    est  
       12 小时 10 分钟前   ❤️ 1
    我猜,下载不一定要进程。别人就是高带宽打你,你丢包都来不及。
    saobilin
        12
    saobilin  
       5 小时 21 分钟前
    感觉是被 d 了 流量进到你这边来了
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   820 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 21:25 · PVG 05:25 · LAX 13:25 · JFK 16:25
    ♥ Do have faith in what you're doing.