Clash4Win 在疯狂下载数据，是什么情况？

我的 Clash for Windows 版本是 v0.20.39 最近发现没做事情的时候，它的下载网速 8MB/s ，看了下 Connections ，一直在连接几个 ip 地址疯狂下载 36.150.54.53:3502 60.220.196.68:3479 61.175.119.220:65408 下载速度非常稳定，在 400KBps 左右，一晚上下载了 400G 数据我看了下 Clash 的 Connection Info ，找了 Source port ，去网络资源浏览器里看，发起的进程是 clash-win64.exe

会不会被肉鸡了？怎么排查链接的源头是哪个程序啊？

RageBubble

2024-01-15 10:30:56 +08:00

另外，把 clash 的 log level 调整为 debug ，然后应该可以直接在 logs 里看到谁发起的请求

bhqt

2024-01-15 10:36:23 +08:00

这是早就有的漏洞了。明显是被别人扫了，然后用你机器做代理走了你的流量通道而已。

mrgblues

2024-01-15 10:39:08 +08:00

借帖子问一下。
现在 clash 去哪里下载比较靠谱？我电脑的老是出问题，想安装个新的。
系统是 Windows 11 ，谢谢。

yangxiaopeipei

2024-01-15 10:58:56 +08:00

@mrgblues 我是在人家的云盘下的，https://alist.duangks.com/%E7%BF%BB%E5%A2%99%E8%BD%AF%E4%BB%B6

不放心就自己去 archive 查历史快照下

dfdd1811

2024-01-15 11:38:49 +08:00

端口换换，关闭允许局域网访问，不打游戏不使用 tun 模式。使用于所有代理客户端

xwhxbg

2024-01-15 11:46:37 +08:00

TUN 模式的原理是所有的流量都会经过一个虚拟的网卡 TUN ，然后通过 tun2socks 这个库读出来给 clash 做 routing 处理，比如 MATCH DIRECT 就会直接通过 ETH0 出去了，所以 TUN 模式所有的流量都会走 clash ，这个是没法避免的，除非你自己写 routing table 让特定的 ip 直接走 ETH0 出去，或者使用 socket option 里面的 bind interface 去让对应的 socket 连接直接从 ETH0 出去

xwhxbg

2024-01-15 11:48:14 +08:00

想要知道哪个程序走的流量多，可以用 tcpdump 之类的对着 TUN interface 抓包然后用 wireshark 看看里面是哪个 source ip port 在发链接，然后根据 ip+source port 可以找到对应的 socket fd ，socket fd 的所有权就能找到对应的 process

Revenant

2024-01-15 12:09:13 +08:00

是不是启用局域网访问了，我之前的 clash 开了局域网访问，流量满载。。。关掉就没了

acctv2

2024-01-15 12:28:22 +08:00

没有需求就别用 TUN 模式了，我之前测试读取网卡信息的程序就被 TUN 生成的虚拟网卡坑了一手。

kitinone

2024-01-15 12:41:49 +08:00

感谢各位童鞋，关掉 tun 就没有了，只要不是被肉鸡了就好，吓死我鸟

mikywei

2024-01-15 13:49:38 +08:00

@kitinone 虎牙直播，估计是 p2p ，下载个软件防火墙就知道了，虎牙可能会一直弹窗要占用额外的端口来搞 p2p 。

Bingchunmoli

2024-01-15 23:15:45 +08:00

@kitinone 你开了系统代理又开了 tun 所以 tun 和本地的系统代理循环流量了，配置低点可能还会触发卡顿

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1008642

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.