Percebo isso com iftop:
# Host name (port/service if enabled) last 2s last 10s last 40s cumulative
--------------------------------------------------------------------------------------------
1 192.168.0.1:41144 => 61B 61B 61B 2.86KB
239.255.255.250:1900 <= 0B 0B 0B 0B
onde 192.168.0.1 é meu servidor. Parece-me que meu servidor está transmitindo mensagens UPnP. Que processo está fazendo isso? Como posso encontrá-lo?
Contexto
Minha configuração de rede é esta:
Internet ... [eth0] meu servidor (agindo como um roteador) [eth1] ... [eth0Asus] Roteador sem fio Asus [eth1Asus] ... LAN sem fio.
Estou testando usando iftop -i eth1.
sudo systemctl status avahi-daemon
● avahi-daemon.service - Avahi mDNS/DNS-SD Stack
Loaded: loaded (/lib/systemd/system/avahi-daemon.service; disabled; vendor preset: enabled)
Active: inactive (dead)
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[1] 22 LIMIT IN Anywhere
[2] 80 ALLOW IN Anywhere
[3] 443 ALLOW IN Anywhere
uname -a
Linux gigi-desktop 4.13.0-37-generic #42~16.04.1-Ubuntu SMP Wed Mar 7 16:03:28 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.4 LTS
Release: 16.04
Codename: xenial
Eu encontrei o processo culpado; é Plex (apesar de ter DLNA e GDM desabilitados). Foi assim que encontrei:
A formatação de saída do tcpdump é tal que me permitiu notar a repetição da porta de origem usada para transmissão. Inicialmente (usando iftop) pensei que era uma porta aleatória quando, na verdade, não era totalmente (parece ser o mesmo para o tempo de vida do processo).
Usando o netstat, consegui encontrar o processo usando a porta 62027.