为何系统会自己对外发包？

zhihuasz · #1

Ubuntu 7.10
网卡手动指定IP地址，相连的交换机打开，上internet的路由器关闭

系统启动后，启动任何程序，包括从终端启动，必须等待系统发四组包之后才能启动

原因为何？

每组包似乎由63字节和64字节的包组成的

xiooli · #2

哟？

yiding_he · #3

自己用 sniffer 工具看看。

shellex · #4

好神奇，期待下文

hubert_star · #5

netstat看看什么程序在发包

hubert_star · #6

有些时候系统会自动更新源的列表，以支持更新的

zhihuasz · #7

把路由器关掉后，重启电脑

启动后明显发现，Tray里面的Icon每隔10秒左右出来一个，正常是一口气全出来了

所有的程序启动都必须等待4组发包完毕，包括ScreenShot

打开终端运行netstat，再开主目录

ahua@aHua-laptop:~$ netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 aHua-laptop.local:32792 192.168.10.1:domain ESTABLISHED

神奇的是，路由器的电源都关了，怎么是ESTABLISHED???

zhihuasz · #8

更神奇的是，只要路由器一打开，一切恢复正常

只要路由器一关掉，一切都要等四组发包。。。。

zhihuasz · #9

系统安装至今，只编译过3个程序，ies4linux 2.0.3，nVidia 显卡驱动169.07和169.09

其他程序都是从apt里安装的

zhihuasz · #10

没人知道吗？

iblicf · #11

sudo netstat -tul ,,,
本地 listen 的端口，看看有没有怀疑的服务，
netstat -tuanp 包括主动端口

以太网上的除了arp / icmp 报文是正常流量，ubuntu 的浏览器，面板上的aplete( 天气 )，sysv-rc-conf 里的许多服务都产生数据报，你可以打出 tcpdump 一段时间来看看 ..

sudo tcpdump

zhihuasz · #12

等待程序启动的时候：

代码：全选

ahua@aHua-laptop:~$ sudo netstat -tuape
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name   
udp        0      0 192.168.10.27:32822     192.168.10.1:domain     ESTABLISHEDahua       31830      7823/x-session-mana 
udp        0      0 192.168.10.27:32817     202.96.128.68:domain    ESTABLISHEDahua       31370      7823/x-session-mana

代码：全选

ahua@aHua-laptop:~$ sudo tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
c21:27:57.249337 IP 192.168.10.27.32827 > 192.168.10.1.domain: 140+ A? aHua-laptop. (29)

1 packets captured
25 packets received by filter
0 packets dropped by kernel

代码：全选

ahua@aHua-laptop:~$ sudo tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:29:10.974544 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:11.974585 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:12.974582 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:15.970579 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:16.970613 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:17.970616 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:20.970576 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:21.970614 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:22.970617 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:25.970613 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:26.970580 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:27.970580 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:30.978498 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:31.978477 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:32.978480 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:35.978497 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:36.978499 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:37.978499 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:40.978507 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:41.978486 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:42.978505 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:45.978493 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:46.978478 arp who-has 192.168.10.1 tell 192.168.10.27
21:29:47.978477 arp who-has 192.168.10.1 tell 192.168.10.27

24 packets captured
24 packets received by filter
0 packets dropped by kernel
ahua@aHua-laptop:~$

程序启动完之后

代码：全选

ahua@aHua-laptop:~$ sudo netstat -tul 
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
ahua@aHua-laptop:~$ sudo netstat -tuanp 
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
ahua@aHua-laptop:~$

各位大侠。。。我应该怎么做呢？

只要一关掉路由器，从进入gnome开始，系统变得十分慢，似乎每个程序都在等待网络的回应才启动

zhihuasz · #13

把DNS的数量从2个减少到1个

等待的时间少变少了，从原来的4组包，变成2组包

在路由器打开的情况下，tcpdump
ahua@aHua-laptop:~$ sudo tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:43:07.426543 IP 192.168.10.27.32849 > dns.guangzhou.gd.cn.domain: 52446+ A? aHua-laptop. (29)
23:43:07.427309 IP 192.168.10.27.32850 > dns.guangzhou.gd.cn.domain: 3894+ PTR? 68.128.96.202.in-addr.arpa. (44)
23:43:07.439388 IP dns.guangzhou.gd.cn.domain > 192.168.10.27.32849: 52446 NXDomain 0/1/0 (104)
23:43:07.442724 IP dns.guangzhou.gd.cn.domain > 192.168.10.27.32850: 3894* 1/1/1 (107)
23:43:07.442948 IP 192.168.10.27.32850 > dns.guangzhou.gd.cn.domain: 63243+ PTR? 27.10.168.192.in-addr.arpa. (44)
23:43:07.455803 IP dns.guangzhou.gd.cn.domain > 192.168.10.27.32850: 63243 NXDomain 0/1/0 (121)
23:43:12.426585 arp who-has 192.168.10.1 tell 192.168.10.27
23:43:12.426789 IP 192.168.10.27.32850 > dns.guangzhou.gd.cn.domain: 7160+ PTR? 1.10.168.192.in-addr.arpa. (43)
23:43:12.426943 arp reply 192.168.10.1 is-at 00:d0:f8:41:fd:06 (oui Unknown)
23:43:12.440255 IP dns.guangzhou.gd.cn.domain > 192.168.10.27.32850: 7160 NXDomain 0/1/0 (120)

发现启动跟X有关的程序，启动前都必定访问DNS

是什么原因啊？

hcym · #14

sudo netstat -tul

sudo tcpdump

也学习学习

iblicf说的靠谱

:em68

zhihuasz · #15

hcym 写了：sudo netstat -tul

sudo tcpdump

也学习学习

iblicf说的靠谱

我没有使用那些applet，也没有打开firefox之类一定会访问网络的程序

仅仅是打开终端，开gedit，开主目录这样的操作而已