最近、私は私のルーター(Linuxボックス)がスパムや類似の品質のためのボットとして使用される可能性があるという疑いがよくありました。これは、私が誤って私のiptablesルールを誤って設定した可能性があるためです。 (これはこの問題が解決したと思います。)
ボックスを見てどこに問題があるのかを調べようとしたところ、内部(eth0)および外部(eth1、ppp0)インターフェイスで送受信されたパケット数に関するデータが時々大きく一致しないことがわかりました。ルータ自体は、私が指示しない限り(apt-getなどを使用して更新)、重要な外部トラフィックを生成してはいけません。しかし、私の場合、外部インタフェース(内部インタフェースではない)に大きな数字があってはいけません。私の質問は次のとおりです。
ifconfigの出力を見て、私のルータがボットとして使用されているかどうかはわかりますか?数字は(少なくともおおよそ)ここに示されているものと一致する必要がありますか?
ベストアンサー1
私はこのカウンタ(eth0、eth1)がレイヤ2データを参照していると仮定します。したがって、eth1トラフィックはppp0トラフィックにPPPoEオーバーヘッドを加えたものです。
さらに、イーサネット送信は競合し(出力に表示されます)、仮想インターフェイストラフィックは競合しません。
トラフィックの増加のもう1つの原因はMSS処理(TCP用)です。つまり、ルータは、背後にあるネットワークがまだ送信していないICMPパケットを送信します。
システムが乱用(スパム)されている場合、その違いは膨大です(カウンタが改ざんされていない場合)。