Непонятный пилообразный трафик на линкс машине

[RGoo]

Пост из серии "спаситя-помогитя"

С линуксовой рабочей станции прет непонятный пилобразный трафик (пр. картинка номер два), на случайные адреса, в основном порты 53, 80 и 443. На роутере видно одновременно несколько десятков соединений в разном состоянии (пр. картинка номер один).
Почти чистый дистрибутив + "проверенные" вещи типа firefox\chrome\bitnami\thundrbird\filezilla\etc, из "левого" стоит только дравер для старых Samsung принтеров и miniDLNA.
Моего знания *nix и умения гуглить не хватает что-бы найти причину. Ни одна из перепробованных команд не показывает ничего странного. Linux Mint 17, 32-bit, ядро 3.13.*

Подскажите пожалуйста - что это "пилит" так красиво? Как это найти?

P.S. GeoTool по IP показывает что угодно - от DSL клиентов BellCanada до гугла. Пару раз какой-то Thor Warehouse проскрочил.

[helg]

1. Посмотреть какие веб-сервера хостятся по полученным IP, на коротые лезем по 80/443 портам, можно, например, вот тут:

http://www.yougetsignal.com/tools/web-s ... eb-server/" onclick="window.open(this.href);return false;

2. Посмотреть какие процессы наоткрывали сокетов на дальние адреса можно командой от рута:

# netstat -t tcp -np

Полагаю, что всё это от браузера, а там JS, Flash или классические баннеры.

[Nekto]

lsof покажет, какой процесс лезет на кокретный IP. Например:

lsof -i -n | grep xx.xx.xx.xx

где xx.xx.xx.xx - IP

[RGoo]

Спасибо за советы. Часть трафика шла от thunderbird. Однако вот прям сейчас несколько сотен соединений на 192.168.1.1, а thunderbird не запущен:

xxxxx ~ $ sudo netstat -t tcp -np
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.1.10:57348 173.10.74.179:443 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:55373 192.168.1.1:80 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:57349 173.10.74.179:443 ESTABLISHED 20110/firefox
tcp 9 0 192.168.1.10:37237 192.168.1.15:139 CLOSE_WAIT 16404/gvfsd-smb-bro
tcp 0 0 192.168.1.10:55376 192.168.1.1:80 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:57350 173.10.74.179:443 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:57351 173.10.74.179:443 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:55375 192.168.1.1:80 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:55377 192.168.1.1:80 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:55374 192.168.1.1:80 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:57331 173.10.74.179:443 ESTABLISHED 20110/firefox
tcp 0 0 192.168.1.10:57352 173.10.74.179:443 ESTABLISHED 20110/firefox
tcp6 1 0 ::1:54475 ::1:631 CLOSE_WAIT 1872/cinnamon-setti
tcp6 1 0 ::1:54474 ::1:631 CLOSE_WAIT 1872/cinnamon-setti
tcp6 1 0 ::1:54472 ::1:631 CLOSE_WAIT 1872/cinnamon-setti
tcp6 1 0 ::1:54473 ::1:631 CLOSE_WAIT 1872/cinnamon-setti
tcp6 1 0 ::1:53619 ::1:631 CLOSE_WAIT 1179/cups-browsed
или так
xxxxx ~ $ sudo lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
avahi-dae 699 avahi 13u IPv4 9752 0t0 UDP *:mdns
avahi-dae 699 avahi 14u IPv6 9753 0t0 UDP *:mdns
avahi-dae 699 avahi 15u IPv4 9754 0t0 UDP *:56035
avahi-dae 699 avahi 16u IPv6 9755 0t0 UDP *:45122
smbd 748 root 30u IPv6 10401 0t0 TCP *:microsoft-ds (LISTEN)
smbd 748 root 31u IPv6 10402 0t0 TCP *:netbios-ssn (LISTEN)
smbd 748 root 32u IPv4 10403 0t0 TCP *:microsoft-ds (LISTEN)
smbd 748 root 33u IPv4 10404 0t0 TCP *:netbios-ssn (LISTEN)
cups-brow 1179 root 6u IPv6 14887 0t0 TCP [::1]:53619->[::1]:ipp (CLOSE_WAIT)
cups-brow 1179 root 8u IPv4 16406 0t0 UDP *:ipp
minidlnad 1267 minidlna 7u IPv4 10487 0t0 UDP *:1900
minidlnad 1267 minidlna 8u IPv4 10488 0t0 TCP *:8200 (LISTEN)
minidlnad 1267 minidlna 9u IPv4 128289 0t0 UDP 192.168.1.10:53743
saned 1291 saned 4u IPv6 13629 0t0 TCP *:sane-port (LISTEN)
dnsmasq 1312 nobody 4u IPv4 10575 0t0 UDP 127.0.1.1:domain
dnsmasq 1312 nobody 5u IPv4 10576 0t0 TCP 127.0.1.1:domain (LISTEN)
nmbd 1519 root 11u IPv4 10658 0t0 UDP *:netbios-ns
nmbd 1519 root 12u IPv4 10659 0t0 UDP *:netbios-dgm
nmbd 1519 root 13u IPv4 10661 0t0 UDP 192.168.1.10:netbios-ns
nmbd 1519 root 14u IPv4 10662 0t0 UDP 192.168.1.255:netbios-ns
nmbd 1519 root 15u IPv4 10663 0t0 UDP 192.168.1.10:netbios-dgm
nmbd 1519 root 16u IPv4 10664 0t0 UDP 192.168.1.255:netbios-dgm
cinnamon- 1872 xxxxx 26u IPv6 53464 0t0 TCP [::1]:54474->[::1]:ipp (CLOSE_WAIT)
cinnamon- 1872 xxxxx 27u IPv6 50815 0t0 TCP [::1]:54472->[::1]:ipp (CLOSE_WAIT)
cinnamon- 1872 xxxxx 28u IPv6 50817 0t0 TCP [::1]:54473->[::1]:ipp (CLOSE_WAIT)
cinnamon- 1872 xxxxx 29u IPv6 51961 0t0 TCP [::1]:54475->[::1]:ipp (CLOSE_WAIT)
gvfsd-smb 16404 xxxxx 11u IPv4 102902 0t0 TCP 192.168.1.10:37237->192.168.1.15:netbios-ssn (CLOSE_WAIT)
gvfsd-smb 16404 xxxxx 12u IPv4 102902 0t0 TCP 192.168.1.10:37237->192.168.1.15:netbios-ssn (CLOSE_WAIT)
dhclient 19926 root 6u IPv4 126377 0t0 UDP *:bootpc
dhclient 19926 root 20u IPv4 126368 0t0 UDP *:1201
dhclient 19926 root 21u IPv6 126369 0t0 UDP *:21141
teamviewe 20012 root 12u IPv4 127668 0t0 TCP 127.0.0.1:5939 (LISTEN)
cupsd 20395 root 10u IPv6 129968 0t0 TCP [::1]:ipp (LISTEN)
cupsd 20395 root 11u IPv4 129969 0t0 TCP 127.0.0.1:ipp (LISTEN)

Вроде бы ничего подозрительного нет, а пила есть.
Если закрыть firefox - разницы нет.

[helg]

Все соединения на 192.168.1.1:80 (раутер?) от огнелиса.Закрыть лиса - так всё пропадёт, надеюсь. Или он не открыт явно, а например, работает каким приложением прямо на рабочем столе или в уголке?

[Nekto]

Посмотрите, какие addons в лисе стоят/запущены. Может, это они куда-то лезут.

Кстати, всякие avahi и cups browsing я бы безжалостно прибил. Пользы от них мало.