V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sniperking1234
V2EX  ›  宽带症候群

Clash For Windows 自己疯狂跑流量是怎么回事

  •  
  •   sniperking1234 · 2023-12-09 12:44:09 +08:00 · 14087 次点击
    这是一个创建于 379 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前现象如下: 我电脑上装有网速监控软件,当 clash 打开的时候,并且没有开启系统代理的情况下,网络监控中的上下行带宽大幅增加。

    同时 clash 自带的面板显示上行网速增加,下行网速倒是正常,日志界面中也有大量日志数据,并一直在刷新,截图如下。

    pi2g8h9.md.png

    关闭 clash 之后,一切正常,不知道是什么原因,请大家分析一下

    第 1 条附言  ·  2023-12-09 14:21:45 +08:00
    破案了,我的宽带有公网 ip ,然后路由器开启了 dmz 功能,转发到我的电脑上,由于之前 clash 配置的允许局域网访问,所以相当于公网 ip 的 7890 端口会转发到我的电脑的 clash 上,估计今天是被人探测到了,白嫖了我的网络
    48 条回复    2023-12-10 22:07:21 +08:00
    estk
        1
    estk  
       2023-12-09 13:04:04 +08:00 via iPhone
    在给节点测速?
    kaedea
        2
    kaedea  
       2023-12-09 13:22:29 +08:00 via Android
    你开代理的软件流量都算到 VPN 头上了
    sniperking1234
        3
    sniperking1234  
    OP
       2023-12-09 13:24:31 +08:00 via iPhone
    @estk 应该不是,持续超过 20 分钟了
    szdosar
        4
    szdosar  
       2023-12-09 13:25:18 +08:00 via iPhone
    有公网 ip ?某个(些)版本有漏洞,被人刷流量了
    sniperking1234
        5
    sniperking1234  
    OP
       2023-12-09 13:27:56 +08:00 via iPhone
    @kaedea 这应该是 clash 自己产生的,和其他软件没关系
    610915518
        6
    610915518  
       2023-12-09 13:37:12 +08:00
    点开 Connections 看看
    Greatshu
        7
    Greatshu  
       2023-12-09 13:40:26 +08:00
    目测是 clash 的 bug ,之前在 clash-core ,还是 cfw 的 issue 里看到过类似的问题,用 TCPview 看一下
    sniperking1234
        8
    sniperking1234  
    OP
       2023-12-09 13:43:02 +08:00
    qq565425677
        9
    qq565425677  
       2023-12-09 13:43:33 +08:00
    看看 connection 在和哪个域名通信,然后搜一下这个域名
    sniperking1234
        10
    sniperking1234  
    OP
       2023-12-09 13:46:12 +08:00
    @szdosar 是公网 ip ,clash 还会对外暴漏端口么
    sniperking1234
        11
    sniperking1234  
    OP
       2023-12-09 13:49:30 +08:00
    @qq565425677 connection 信息里面没有域名,只有 ip 地址,我搜了几个 ip 地址,都是俄罗斯、乌克兰的,难道真被攻击了?
    Shiroka
        12
    Shiroka  
       2023-12-09 13:49:36 +08:00 via iPhone   ❤️ 2
    @sniperking1234 你全打码了,还让大家分析个球...
    luckykong
        13
    luckykong  
       2023-12-09 13:50:45 +08:00
    应该是配置出错误了,你改改 DNS 或者 Tun 的配置? 你截图上,涂掉的内容,是不是全部都是 IP 地址?看不到任何域名? 正常情况下,这里应该显示很多域名,而不是 IP 的。
    先关掉这些高级设置,试试就用 浏览器扩展 + 本地端口代理 的模式?
    EricXuu
        14
    EricXuu  
       2023-12-09 13:52:04 +08:00 via Android
    看下源端口,找找是啥进程发起的
    sniperking1234
        15
    sniperking1234  
    OP
       2023-12-09 13:52:14 +08:00 via iPhone
    @Shiroka 我不清楚会不会暴扣我自己的网络信息,一会我发一张没打码的
    apiman
        16
    apiman  
       2023-12-09 13:53:58 +08:00
    你自己查一下上传流量的来源和目的地啊
    sniperking1234
        17
    sniperking1234  
    OP
       2023-12-09 13:54:35 +08:00
    sniperking1234
        18
    sniperking1234  
    OP
       2023-12-09 13:58:02 +08:00
    @EricXuu 像这种 source 和 destination 都不是我本机 ip ,很奇怪
    https://z1.ax1x.com/2023/12/09/pi25WxH.png
    sniperking1234
        19
    sniperking1234  
    OP
       2023-12-09 14:02:43 +08:00
    我把 clash 里面允许局域网关掉之后,一切正常的,难道我局域网内设备被攻击了?
    https://z1.ax1x.com/2023/12/09/pi25LRg.png
    eaststarpen
        20
    eaststarpen  
       2023-12-09 14:24:03 +08:00
    @sniperking1234 https://clash.razord.top/

    这个能看 src ip 和 dst ip

    看看请求是从什么设备发出的
    x86
        21
    x86  
       2023-12-09 14:33:27 +08:00
    哈哈,今早我还问网管来着,一台备份的服务器不知道怎么网关解析到我一台 shellclash 上去了,跑了我 30 多 g 流量🤔
    xinge666
        22
    xinge666  
       2023-12-09 14:33:42 +08:00 via iPhone
    我遇到过,Windows 的 CFW 开了局域网访问,然后刚好给这台电脑开了 DMZ ,CFW 的端口开放给公网就被扫到了,把 DMZ 关掉就行了
    kaedea
        23
    kaedea  
       2023-12-09 14:35:56 +08:00 via Android
    @sniperking1234 抓包看看?
    shwomen1234fs
        24
    shwomen1234fs  
       2023-12-09 15:02:20 +08:00   ❤️ 3
    可能偷跑, 看看这个视频是不是这个问题
    MYDB
        25
    MYDB  
       2023-12-09 16:13:51 +08:00
    问=被白嫖了这么久还没解决
    cy18
        26
    cy18  
       2023-12-09 16:14:08 +08:00   ❤️ 10
    这下知道哪些免费 clash 节点哪来的了...
    googlefans
        27
    googlefans  
       2023-12-09 17:48:03 +08:00
    是最新版吗?
    SekiBetu
        28
    SekiBetu  
       2023-12-09 17:53:25 +08:00
    闭源内核是这样的
    gzlock
        29
    gzlock  
       2023-12-09 17:55:57 +08:00   ❤️ 1
    楼主这是网络配置的问题,怎么有些回复还怪到闭源上了
    EasonSummer
        30
    EasonSummer  
       2023-12-09 18:04:10 +08:00
    DMZ 功能。。。要转发端口也一个个自己转发呢
    ochatokori
        31
    ochatokori  
       2023-12-09 18:25:49 +08:00 via Android
    哈哈,我还没点进来就猜到是放出去被人用了,之前 v 站也有一个一样的
    DogBear
        32
    DogBear  
       2023-12-09 18:29:59 +08:00 via Android
    拨号路由器用 shaodowsocksr+ 开局域网 socks 服务端,被扫出来滥用害我 vps 收了 8 个 email abuse
    bclerdx
        33
    bclerdx  
       2023-12-09 18:33:56 +08:00 via Android
    @SekiBetu 为何会这样?
    Godjack
        34
    Godjack  
       2023-12-09 18:41:42 +08:00   ❤️ 1
    @sniperking1234 #19 [[Bug]: 如果发现自己 Clash 资源占用率极高 / 日志卡死 / 连接数异常增加,请考虑关闭 Allow-Lan・Issue #2769・Fndroid/clash_for_windows_pkg・GitHub]( https://web.archive.org/web/20230321145521/https://github.com/Fndroid/clash_for_windows_pkg/issues/2769)
    Mingle3016
        35
    Mingle3016  
       2023-12-09 19:08:06 +08:00 via Android
    我今天发现我手机上百度网盘有个类似的现象,我要下一个 30k 的文档,结果点任务开始以后,文档一点都不动,但是手机流量监控显示网速一直在 5m/s 地跑,这是咋回事
    Revenant
        36
    Revenant  
       2023-12-09 19:24:37 +08:00
    不一定是内核问题,我之前开启了局域网访问,流量被疯狂偷跑,关掉就没事了
    估计可能真的像楼上老哥说的那样,开了 DMZ ,被搞黑产的扫到了
    kokutou
        37
    kokutou  
       2023-12-09 21:10:49 +08:00
    居然开 DMZ....

    开了 DMZ 还不注意防火墙限源...
    lonely701
        38
    lonely701  
       2023-12-09 21:45:11 +08:00   ❤️ 1
    DMZ 、UPnP 在有公网 IP 的情况下建议关掉,手动添加端口转发,并且不要用默认端口号,尽可能用 10000 以上的端口号。Clash 支持随机端口号。
    sniperking1234
        39
    sniperking1234  
    OP
       2023-12-09 22:29:24 +08:00
    @lonely701 多谢提醒,现在知道教训了
    ns09005264
        40
    ns09005264  
       2023-12-09 22:55:12 +08:00   ❤️ 1
    7890 这个端口太有名了,公网上开这个端口应该很容易就被扫到,而且也没有加密,随便谁在自己电脑上设置一下 http_proxy=http://你 IP:7890 就能拿你电脑当代理服务器了。
    Joomaen
        41
    Joomaen  
       2023-12-09 23:06:49 +08:00
    @ns09005264 #40 还好没有公网 ip ,吓死我了
    huoshen
        42
    huoshen  
       2023-12-10 01:42:59 +08:00 via iPhone
    好家伙,开公网,然后 dmz 运行 clash ,你幸好发出来大家帮你找到了,不然,运营商触发了的话直接就是封停,要是有人拿你宽带做了什么事情,直接就是警察上门,不是你做的也够喝一壶的
    yuebuzai
        43
    yuebuzai  
       2023-12-10 11:56:42 +08:00
    我上个月也是
    SekiBetu
        44
    SekiBetu  
       2023-12-10 13:55:54 +08:00
    @bclerdx 作者已经被朝廷诏安,以前写的后门用上了
    fndroid
        45
    fndroid  
       2023-12-10 21:41:15 +08:00   ❤️ 5
    @SekiBetu 您懂得真多
    sdcg1994
        46
    sdcg1994  
       2023-12-10 21:44:31 +08:00
    是的 cfw 其实是被外星人控制的软件 地球的资料正在被窃取 我们要有保密意识 涉密不上网 上网不涉密
    Bear13023
        47
    Bear13023  
       2023-12-10 21:49:53 +08:00
    光改端口也未必有用,当然也有可能他们先已经捕获了我的设备。

    类似楼主情形,局域网开了共享之类功能,直接电脑要被跑死机了,改端口,加密码都不管用。就是不能开那几个服务,具体哪个也懒得试了,搞得很烦
    sunny2580839896
        48
    sunny2580839896  
       2023-12-10 22:07:21 +08:00 via Android
    关闭 tun 看看
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2751 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:00 · PVG 18:00 · LAX 02:00 · JFK 05:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.