[求助]openclash 出现大量的上传连接,消耗了上百 G 机场流量

2022-08-14 14:15:14 +08:00
 xjx0524
https://v2ex.com/t/870828
上次发帖说流量异常的问题,升级了套餐,重置了订阅连接,今天又发现跑掉了 100G 流量。。。
观察 yacd 控制面板里,有大量异常的连接,src 和 dst ip 都是外网 ip


软路由重新拨号后就正常了,但是担心还会再出现问题,请教下怎么排查呢?

固件 OpenWrt R21.3.27 GDQ v4.1[2021] Compiled by eSir
openclash v0.45.47-beta
10450 次点击
所在节点    问与答
34 条回复
kele999
2022-08-14 14:30:41 +08:00
求大佬分析
cxtrinityy
2022-08-14 14:30:46 +08:00
netstat -apnt 看看这些链接都是哪个进程建立的,然后顺藤摸瓜 kill ,remove package
bytesfold
2022-08-14 14:42:49 +08:00
我只用官方固件自己装,别人编译的不知道放了啥料
bytesfold
2022-08-14 14:42:55 +08:00
我只用官方固件自己装,别人编译的不知道放了啥
1423
2022-08-14 14:47:18 +08:00
明显是被扫描作为公共免费代理了,你是部署在有公网 IP 的机器上监听了 0.0.0.0 吧
kokutou
2022-08-14 14:49:25 +08:00
换官方 openwrt 固件吧。。。
编译版固件就没一个用着顺心的。。。
ghjexxka
2022-08-14 14:56:49 +08:00
你是在 wan 配置了端口转发,发到 clash 的监听端口上了吗?
xjx0524
2022-08-14 14:59:26 +08:00
@cxtrinityy netstat 显示的进程都是 clash

@1423 我也猜测可能是这样。。。我只配置了几个端口转发到内网机器的特定端口,应该没有监听 0.0.0.0 ,这个还要怎么排查下呢
xjx0524
2022-08-14 15:01:13 +08:00
@ghjexxka 有一个 wan 的非常见端口 到 lan 的 80 端口的转发
1423
2022-08-14 15:06:24 +08:00
等下次复现时,在拨号的路由器上查看下 tcp 连接有哪些
没猜错应该是一堆国外 IP 连进来
看连接推荐使用 sudo lsof -i -n -P | nali
Ne
2022-08-14 15:20:14 +08:00
你有没有想过是机场给黑了。以前试过正常打开机场网站,但帐户不是我的,还有几百天🐶
HOMO114514
2022-08-14 15:31:04 +08:00
xjx0524
2022-08-14 15:31:41 +08:00
@1423 感谢,到时候再试试,我用 netstat 是没看出什么问题。。。

@Ne 那应该不至于,出问题的时候我切了另一个机场的配置,问题同样存在
leloext
2022-08-14 15:33:01 +08:00
这是近两个月看到第二个跑流量的问题了,与上一个一样是 esir 的固件和 clash ,最后只查到跑流量 ip 反查出来的域名在 github 的更新配置文件上面,我没有用这样的环境,但可以按这个思路排查一下。
xjx0524
2022-08-14 15:43:51 +08:00
@chowdpa02k413 感觉可能是这个问题。。。但我是部署在路由器上的,肯定要 allow lan ,那应该是加一下 auth ?
xjx0524
2022-08-14 15:48:50 +08:00
@chowdpa02k413 查了下图里 dst 的 ip ,确实都是俄罗斯。。。
cxtrinityy
2022-08-14 15:54:20 +08:00
@xjx0524 那我看你那截图请求发起好像各种外网 ip 都有就应该和楼上说的差不多, 被别人蹭代理了, 你这个应该只是用来做路由器透明代理的吧, 没用过 clash, 不知道能不能像 v2ray 一样配置 routing 管理请求, 可以的话配置下只允许内网 source ip 的请求 , 或者监听地址改到内网地址别 0.0.0.0 了, 再不行就 firewall 自定义规则了
xjx0524
2022-08-14 16:16:07 +08:00
@1423
@leloext
@cxtrinityy

在刚开始捣腾软路由时,由于不咋成熟的网络知识,看了网上乱七八糟的教程,为了配置端口转发,把这个红圈的地方全都改成了接受,刚测试下来默认拒绝也是能单独端口转发的。。。
所以这样改后,是不是外部就访问不到我的软路由的 7890 端口(openclash 的 http 代理端口)了?
pigmen
2022-08-14 16:24:57 +08:00
你这明显是暴露到公网上去被人搞到了呀,要么加 auth ,要么别暴露到公网
leloext
2022-08-14 17:02:44 +08:00
@xjx0524 更好的做法是 clash 的地址改成内网或 127 。顺便澄清一事,跑流量这两例刚好都是用到那个固件和这个软件,仅此而已,不代表那个固件或软件有问题。第一例那个帖子(不在这里)已经不见了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/872764

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX