Tráfego de entrada e saída quando NADA está em execução

Navegue suas respostas
3

Em um sistema com nada em execução (pelo menos nada que eu saiba). A escuta do tráfego de entrada e saída imprime esta saída: 

192.168.1.1              => all-systems.mcast.net             0b     26b     19b
                         <=                                   0b      0b      0b
192.168.1.2              => 224.0.0.251                     128b     26b     19b
                         <=                                   0b      0b      0b

(às vezes não aparece apenas 26b ou 128b, mas, em vez disso, salta para números grandes como se houvesse informações reais sendo enviadas)

Qual é o significado disso?

192.168.1.1 é o gateway, meu roteador

192.168.1.2 sou eu, minha máquina

Mas quem é all-systems.mcast.net? Também quem é 224.0.0.251 ?? E mais importante, por que há pacotes sendo enviados?

Encontrou isto: link Mas eu não estou executando nenhum servidor DLNA. Então, para quem eu estou transmitindo?

Uma última (e também importante pergunta) é: Eu posso entender 192.168.1.2 entrar em contato com algo, e eu posso entender 192.168.1.1 entrando em contato comigo, mas eu não consigo entender porque eu estou vendo 192.168.1.1 em contato com all-systems.mcast.net, então como é possível que o monitoramento da minha máquina mostre o tráfego do meu roteador que não está sendo enviado para mim? Eu não deveria ser capaz de ver isso, né?

O utilitário que estou usando é: 

   iftop - display bandwidth usage on an interface by host

Utilitários tcptrack e netstat não mostram nada. Portanto, a única explicação plausível é que esse utilitário é o único responsável por esse tráfego?

Pergunta UPDATE

Portanto, há este material multicast aparentemente integrado no kernel do meu sistema e também no meu roteador com um sistema muito rudimentar de pergunta e resposta, um timer, uma vez a cada 60 segundos. Eu não entendo muito bem por que, e depois de algumas pessoas boas terem tentado me explicar, eu acho que nunca vou. Então eu gostaria de desligá-lo. É possível?

    
por bunden 22.02.2018 / 00:50

2 respostas

6

Esses pacotes que você está vendo são serviços multicast regulares (e enquanto o processo é similar aos pacotes de transmissão, eles não são broadcasts por si só); o tráfego de saída na rede também é (geralmente) insignificante.

Na verdade, não apenas você vê o tráfego gerado por você mesmo, você também vê tráfego para os endereços gerados por outras máquinas na sua rede.

  • 224.0.0.1 é all-systems.mcast.net

Por padrão, todos os servidores (Linux) se anunciam no multicast de rede para o 224.0.0.1 regularmente, para reportar a roteadores próximos eles são capazes de falar de multicast. Esses pacotes devem ser o kernel do Linux que os envia.

  • 224.0.0.251 é mDNS

Quanto ao 224.0.0.251, ele é usado pelo Avahi / zeroconf para anúncio e descoberta de serviços.

Avahi is a free zero-configuration networking (zeroconf) implementation, including a system for multicast DNS/DNS-SD service discovery.

veja Cisco - Introdução ao multicast

veja também TLDP - Multicast sobre TCP / IP HOWTO

Class D Address - Multicast address / 224.0.0.0 - 239.255.255.255

o 224.0.0.1 is the all-hosts group. If you ping that group, all multicast capable hosts on the network should answer, as every multicast capable host must join that group at start-up on all it's multicast capable interfaces.

Como para ver pacotes que não são para você, você deve ouvir transmissões e pacotes / anúncios multicast como eles são (normalmente) enviados para todas as estações. Existem nuances, que não vou aprofundar aqui. Veja as introduções que estou ligando.

Por fim, embora iftop veja o tráfego, ele não é o responsável por gerá-lo.

Você também pode ver os grupos de multidifusão com os quais o servidor pertence: 

netstat -g

Por fim, não ter usuários regulares / seu usuário executando programas não significa que o sistema esteja fazendo nada . O Linux é um sistema multi-usuário / multitarefa, e há muitas funções de manutenção acontecendo em segundo plano.

    
por 22.02.2018 / 01:07
0

O tráfego IP multicast tem regras diferentes do tráfego unicast ou de difusão comum. Um endereço IP multicast nunca é usado como um endereço de origem: é sempre apenas um endereço de destino. Um sistema que está enviando multicasts usará seu endereço IP regular como o endereço de origem. Cada endereço IP multicast designará um grupo multicast : qualquer coisa enviada para esse endereço multicast será recebida por todos os hosts pertencentes a esse grupo. (Ou essa é a teoria. Na prática, a menos que você tenha tomado providências específicas para rotear multicasts além de sua sub-rede ou organização, o tráfego multicast tende a parar nesses limites por padrão.)

Quando algum software em um host deseja receber tráfego multicast, ele informará ao kernel do host "Desejo receber multicasts endereçados a este endereço IP multicast". O kernel adicionará então esse endereço IP multicast à lista de endereços multicast que ele escutará e enviará uma mensagem de relatório IGMP: "Desejo receber tráfego multicast endereçado a esses IPs multicast:". Este relatório IGMP é em si uma mensagem IP multicast. No Linux, o IGMP é tratado no nível do kernel: é por isso que você não vê nenhum processo responsável por ele.

Roteadores com capacidade de difusão seletiva enviam periodicamente (geralmente a cada 60 segundos) mensagens de consulta IGMP, essencialmente: "Para todos os sistemas neste segmento: informe agora se você ainda estiver interessado em qualquer tráfego multicast." Esta é também uma mensagem IP multicast, enviada para 224.0.0.1 = all-systems.mcast.net. Isso é provavelmente o que o seu roteador está enviando. Como o nome DNS dado a esse endereço implica, todos os hosts compatíveis com multicast devem sempre ouvir o tráfego multicast endereçado a 224.0.0.1.

Um host com capacidade para multicast deve enviar um relatório IGMP em duas situações:

  • quando deseja iniciar ou parar de ouvir o tráfego endereçado a um determinado IP multicast ou
  • quando recebe uma mensagem de consulta IGMP.

Normalmente, o kernel do host manipula isso automaticamente. No Linux, você pode usar cat /proc/net/igmp para ver quais IPs de multicast que seu sistema está ouvindo atualmente em cada interface de rede. Infelizmente, os IPs multicast são reportados em hexadecimal e a ordem de bytes é invertida a partir do formato usual de endereço IP: por exemplo, 224.0.0.1 é apresentado como "010000E0"; 224.0.0.251 é "FB0000E0".

Um roteador com capacidade para multicast enviará consultas IGMP para cada segmento de rede do qual faz parte e acompanhará os relatórios IGMP obtidos como resposta. É assim que se sabe se o tráfego multicast para algum endereço IP multicast precisa ser roteado de um segmento de rede para outro.

Exceção: se já houver outra fonte se o IGMP consultar um segmento e ele tiver um endereço IP de origem mais baixo que esse roteador, esse roteador não enviará consultas e, em vez disso, apenas escutará. Ele pode tentar se comunicar com a outra fonte de consulta IGMP usando algum protocolo de roteamento multicast para coordenar o tráfego multicast entre roteadores.

Se um host com capacidade para multicast não responder a três consultas IGMP consecutivas (ou seja, 180 segundos), o roteador assumirá que o host não está mais interessado em nenhum tráfego multicast. Isso limpa todos os fluxos de multicast desnecessários se um host for reinicializado, perder energia ou perder a conectividade de rede.

Em uma rede Wi-Fi doméstica simples, o multicast é de utilidade limitada: qualquer grupo de hosts em uma rede Wi-Fi ainda consumirá a largura de banda de rádio compartilhada de todos, seja por usar multicast ou simplesmente por difusão. Mas em uma rede com fio, ou em uma malha de rede Wi-Fi, o multicast permite que switches e / ou APs monitorem as mensagens IGMP e, assim, saibam se um determinado pacote multicast precisa ser enviado para uma porta de switch ou célula Wi-Fi específica. não. Isso economiza largura de banda para aqueles que não estão interessados em um determinado multicast, em detrimento de mais trabalho para switches / APs. Esse recurso é conhecido como "snooping IGMP".

    
por 22.02.2018 / 10:33

Tags

Existe um comando ou uma série de comandos para fazer o computador usar o máximo de recursos possível? Como registrar o arquivo debian uefi com minha placa-mãe?