Провайдер жалуется на флуд.

Может ли флуд быть от моросящего порта коммутатора

От всего, где есть какая-никакая прошивка и что гоняет трафик. Если вы говорите что от компа не идет, значит все уровнем выше- между компом провайдером. Смените коммутатор\роутер\маршрутизатор.

Как я сменю коммутатор провайдера) разве что можно попросить перекинуть меня на другой порт.

у меня такое было, сменил на роутере прошивку и все наладилось

Дергайте их, приводите доказательства что их коммутатор похачили. Проведите с вашим админом эксперимент - пусть когда идет флуд вы машину вырубите.

У меня сервер на ubuntu стоит.

Как я вырубаю кабель с их слов флуд прекращается

Включись через какой-нибудь сранороутер между компом и кабелем. Смотри статистику в роутере. Есть вариант что ты неправильно смотришь свой траф.

Отключил все что может генерировать трафик. Сидел пару часов с включенным iperf и tcpdump. Ничего подозрительного.

А чо, логично - ты же всё отключил.

самый простой вариант NTP amplification attack на роутер, или любой древний люникс у тебя

Подкинул роутер. Сижу с него. жалоб нет. Значит буду ковырять свой сервак. Либо у меня в сетке что-то заражено. у хотя бы круг сузил.

а у тебя наружу dns не торчал ? dns amplification тоже неприятно.

Либо имеет место аппаратная проблема типа умирающей сетевухи, плохих контактов, передавленный провод.

dns наружу нет. А вот про контакты я тоже думал. Как минимум по двум причинам. В за пару дней до этого была непогода (живу в частном секторе, а тут все кабеля по воздуху), а кроме того у меня давно подозрения были на качество обжатия. иногда линк падал, когда трогал коннектор. Завтра проверю.

Мистика. Подключаю роутер, сервер становится обычным клиентом. Проблемы исчезают. Возвращаю сервер и опять жалобы на флуд. Никогда не думал что скажу это, но будут переустанавливать систему (в принципе давно об этом думал, но раз работало не трогал). Не могу вслепую ковырять все подряд, не зная в какой момент у меня начинается флуд (провайдер говорит что только через 20-30 минут может это заметить, в реальном времени смотреть не может. Мало того никакой информации что за трафик, какого рода, откуда и куда идет сказать тоже не может. Коммутатор умеет только включать и выключать порт)

Возвращаю сервер и опять жалобы на флуд

Закрой всё на выход в iptables. Смотри счётчики заблокированных пакетов.

Чем история то закончилась?

Пока ничем. На днях ковырял сервер, в поисках причин пакостей, и заметил, что sysctl.conf у меня из старого бекапа (когда я его тестировал для иных целей) и видимо либо забыл вернуть оригинал, либо по ошибке старый вернул. В нем я включал проксирование arp. И вот теперь думаю, могли ли это стать причиной? Так как никакой информации по поводу того, какого характера флуд был, у меня нет, то вернуть оригинальный sysctl.conf и проверить не решился. не хочется опять без интернета остаться и ждать когда админ провайдера будет на месте.

в sysctl.conf были включены параметры

net.ipv4.conf.all.proxy_arp_pvlan=1
net.ipv4.conf.all.proxy_arp=1

Мак менять пробовал?

Менял сетевые карты. Так как сервер работает шлюзом, то просто поменял настройки. Та что раньше смотрела в мою сеть, стала смотреть в сеть провайдера. А другая наоборот.