群晖 NAS 有异常的网络发送,数据量巨大,暂时未定位到原因。

2021-07-25 17:09:20 +08:00
 Junzhou

设备信息

型号 DS220+,DSM7.0,两根网线,LAN1 LAN2

具体情况

每个小时的第 15 分钟开始到第 25 分钟之间,LAN1 和 LAN2 交替以 2MB/s ( 16Mbps )的速度向外发送数据,10 分钟发送了大约 1.2G 的数据,实在想不明白到底什么服务需要对外发送这么大量的数据。

下图是监控数据。

已排除的可能

  1. FRP,frp 的相关穿透配置仅限于 LAN1 的地址,未对 LAN2 的地址有任何穿透转发。看发送情况是 LAN1 和 LAN2 交替发送。

  2. OneDrive 的同步,没有这么大的同步量,这几个周期发送了好几十 G 的数据了,OneDrive 同步任务可以排除。

  3. 相关 Docker 容器的网络发送,只有 FRP 容器两个。qinglong 容器一个。

  4. Synology Active Insight,这玩意定期上产系统的运行信息,按理说不可能发送这么巨大的流量。

其他问题

DSM7.0 Universal Search 应用点击 检查索引数据库,会一直检查,导致 CPU 在数天内持续占用 50%左右,手动取消后占用恢复正常。

我使用 iftop 未定位到原因。各位有什么排查策略吗?

5222 次点击
所在节点    NAS
33 条回复
vmebeh
2021-07-25 23:43:38 +08:00
台积电、Nvidia 也是台企,你用的 CPU 、GPU 自带后门!!!!! 🐶
wangkai0351
2021-07-26 09:14:06 +08:00
@vmebeh 要是这么较真,万物皆带后门,台积电、Nvidia 敢反驳这句话吗?
yesfirst
2021-07-26 09:21:44 +08:00
这个监控数据在哪里可以看? 我是 dsm6 没找到么
Junzhou
2021-07-26 10:05:30 +08:00
@SZP1206 更新一下,找到问题了是 MacBook 时间机器备份的问题,虽然不太清楚为什么时间机器开始备份前 NAS 会向 MacBook 持续发送那么多数据。

根据老哥们的建议,没有抓包,使用 docker 起了个 iftop 容器,挂到了 host 网络,查看 eth0 的所有网络情况。

整点 10 分的时候,发现 NAS 起了一个 445 端口,持续向内网的某台机器发送数据。大约 10-18Mbps 的速率。
└──────────────────────────┴──────────────────────────┴───────────────────────────┴──────────────────────────┴───────────────────────────
192.168.0.108:445 => 192.168.0.104:59429 12.1Mb 7.28Mb 6.51Mb
<= 30.6Mb 16.2Mb 14.2Mb
定位端口 445 为 smb 端口
ash-4.4# netstat -pantu | grep 445
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 9877/smbd
tcp 0 4180 192.168.0.108:445 192.168.0.104:59429 ESTABLISHED 19533/smbd
tcp 0 0 192.168.0.105:445 192.168.0.104:61335 ESTABLISHED 5952/smbd
tcp6 0 0 :::445
查看 MacBook 的时光机器,发现每小时的定时备份的开始时间为整点第 10 分钟开始。
Junzhou
2021-07-26 10:05:50 +08:00
@yesfirst dsm7 的监控
Ravencus
2021-07-26 10:23:38 +08:00
好像不止是开始备份前。time machine 备份的过程中 mac 上也会有间歇性的流量下行。
littlewing
2021-07-26 11:52:55 +08:00
从你的描述中我一直以为是向外网发送流量。。。。
Junzhou
2021-07-26 12:59:56 +08:00
@littlewing 最开始也没有确认流向。。。
tankren
2021-07-26 13:27:43 +08:00
shell 里面看看 top 呢
smileawei
2021-07-26 14:25:35 +08:00
看看是不是装了迅雷系列的下载工具。之前有装过“玩物下载” 。然后就发现上传不正常
lifanxi
2021-07-26 23:33:57 +08:00
@Junzhou 用 Docker 跑 iftop 好机智。还有个更原生的玩法,sudo synogear install,有惊喜。
Junzhou
2021-07-27 11:16:52 +08:00
操 还能这样啊 一会试试
Junzhou
2021-07-27 11:17:23 +08:00
@lifanxi 我草 还能这样啊 一会试试

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/791648

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX