什么会导致巨大的防火墙吞吐量

至less你的munin数据是新的。 但在监测的几天内，可以看到最近两天的变化。

我假设你的电脑在夜间被打开 – 唯一有效的设备就是你的防火墙。

请检查防火墙是否感染了rootkit_hunter： http ://www.rootkit.nl/projects/rootkit_hunter.html

我认为你的防火墙是新的，你应该检查更新。

请检查从互联网端打开哪些端口： http : //www.yougetsignal.com/tools/open-ports/

你的路由器是否有能力显示IP的连接？ 那些显示了很多奇怪的活动？

TCPdump可能会显示连接的内容。 您可以将stream量从您的路由器路由到虚拟机，并从那里转发，以便您可以嗅探截获的stream量，并查看连接的状况。

在任何机器上的日志中有什么不寻常的东西？

那么你的机器上的networking接口统计信息呢？ 重置统计数据，看看那里发生了什么。

如果您的机器从networking中断开一段时间，您的路由器是否仍显示出高水平的活动？

您的路由器是否显示连接的工作站？如果您有无线networking，您是否可以嗅探networking上的MAC地址和/或恶意IP？

您是否在所有机器上运行了病毒/恶意软件扫描，请记住，它们只能告诉您您是否受到感染，而不是您没有受到感染（换句话说，它不是100％可靠的，因为恶意软件如果聪明）？

在我看来，尝试做的最好的事情是让networking中的另一台机器嗅探networkingstream量并寻找exception情况。 如果我正确地阅读你的stream量统计数据，你会得到大量的传入stream量，而不是很多传出，所以无论是有人下载了很多东西，或者你正在受到某种探测或攻击。 如果你不能在你的networking中缩小它，请联系你的ISP，看看他们是否能从他们的身边看到你的连接是什么; 如果受到拒绝服务攻击，他们应该能够确定一点点。 检查您的路由器，检查数据包嗅探器，检查使用干净的虚拟机，并redirectARP中毒所有stream量，看看你是否可以检测到活动来自哪里。

如果您有无线networking，请尝试closuresnetworking，以确定networking上是否有其他人员（如果您没有路由器/ AP可以告知您已经连接了工作站的MAC）。

你的机器有可能被感染，这是你的机器攻击他人。

试试iptraf来监视连接活动。 如果有一个连接正在占用带宽，你会看到它。

此外，如果这是由非开放端口上的连接引起的，则不会使用netstat（仅在打开的套接字上列出连接）来查看它。 尝试使用netfilter和/或tcpdump进行login。