Посмотри в tcpdump, отфильтруй там свои порты ssh и vpn, оставшееся надо разглядывать.

Еще на впс бывает по умолчанию запущены всякие мониторинги чтобы в админке рисовать графики загрузки кпу и сети, вот эти метрики могут отправляться. Проверь кроны, сервисы, ps aux

Я только учусь и еще не всё понимаю и могу. пользователь пока один: root@p825904:~# crontab -l no crontab for root В кроне как видно ничего. Графики в админке какие то рисуются хотя они мне совсем не нужны но возможности их отключить я не вижу. А самое главное я вижу как трафик в админке мне этот считают а я еще ничего не сделал.

поставьте на сервер

• tmux или screen
• iftop
• asciinema

запустите новую сессию

tmux new -As trafshow
asciinema rec ~/iftop.capture
sudo iftop -ni eth0

iftop будет показывать трафик, агрегированный по SRC/DST/PORT

asciinema будет записывать то что отображается на экране в файл ~/iftop.capture

чтобы прокуртить «запись» нужно будет зайти в tmux

tmux attach -t trafshow
<CTRL + C>
exit

теперь вы можете проиграть запись и посмотреть как трафик ходил в ваше отсутствие

asciinema play ~/iftop.capture 

ну, выкладывай конфигурации openvpn сервера и клиента. Может, ты там клиентом через свой серверок серфишь или кино восемь часов подряд смотришь.

В эту сторону даже не стоит смотреть. У меня роутер с белым ip с openwrt и на нем сервер openvpn. vsd подключпен к моему роутеру как клиент. К роутеру подсоединены несколько роутеров знакомых и родственников. Openvpn установлен только для того чтобы можно было настройки роутеров изменять удалено и к компьютерам подключаться удаленно. Ничего более там не ходит. Трафик там мизерный. vnstat на моем роутере не даст соврать.

Попробую почитать про это и разобраться. bwm-ng показывает скорость по интефейсам:

bwm-ng v0.6.3 (probing every 0.500s), press ‘h’ for help input: /proc/net/dev type: rate | iface Rx Tx Total

           lo:           0.00 KB/s            0.00 KB/s            0.00 KB/s
         eth0:           1.56 KB/s            0.50 KB/s            2.05 KB/s
         tun0:           0.08 KB/s            0.37 KB/s            0.44 KB/s
   ztmjfixizk:           0.00 KB/s            0.00 KB/s            0.00 KB/s

        total:           1.63 KB/s            0.86 KB/s            2.50 KB/s

В тот же момент vnstat в разы больше:

root@p825904:~# vnstat -l Monitoring eth0… (press CTRL-C to stop)

rx: 34.75 kbit/s 46 p/s tx: 9.88 kbit/s 8 p/s^C

eth0 / traffic statistics

                       rx         |       tx

————————————–+—————— bytes 27.83 MiB | 1.01 MiB ————————————–+—————— max 562.07 kbit/s | 130.84 kbit/s average 280.23 kbit/s | 10.21 kbit/s min 18.64 kbit/s | 0 bit/s ————————————–+—————— packets 472643 | 6769 ————————————–+—————— max 1158 p/s | 82 p/s average 567 p/s | 8 p/s min 29 p/s | 0 p/s ————————————–+—————— time 13.88 minutes

root@p825904:~#

показывает скорость по интефейсам

какая-то черепашка «врет»

В тот же момент vnstat в разы больше:

поставьте iftop и увидите трафик

iftop стоит и показывает небольшой трафик так же как и bwm-ng.

А вот vnstat с 7 утра насчитал уже: root@p825904:~# vnstat -h

eth0 / hourly

     hour        rx      |     tx      |    total    |   avg. rate
 ------------------------+-------------+-------------+---------------
 14-04-2025
     07:00    244.85 MiB |  125.89 MiB |  370.74 MiB |  863.89 kbit/s
     08:00    115.75 MiB |    1.97 MiB |  117.72 MiB |  274.30 kbit/s
     09:00    121.19 MiB |  541.95 KiB |  121.72 MiB |  283.62 kbit/s
     10:00    382.00 MiB |  605.11 KiB |  382.59 MiB |  891.50 kbit/s
     11:00    120.10 MiB |    1.74 MiB |  121.85 MiB |  283.92 kbit/s
     12:00      0.99 GiB |    2.38 MiB |    0.99 GiB |    2.37 Mbit/s
     13:00    141.25 MiB |    9.32 MiB |  150.57 MiB |  350.86 kbit/s
     14:00    119.69 MiB |    3.32 MiB |  123.01 MiB |  286.63 kbit/s
     15:00    111.62 MiB |    9.77 MiB |  121.39 MiB |  308.57 kbit/s
 ------------------------+-------------+-------------+---------------

root@p825904:~# vnstat -d

eth0 / daily

      day        rx      |     tx      |    total    |   avg. rate
 ------------------------+-------------+-------------+---------------
 14-04-2025     2.33 GiB |  155.79 MiB |    2.48 GiB |  663.46 kbit/s
 ------------------------+-------------+-------------+---------------
  estimated     4.41 GiB |  295.62 MiB |    4.70 GiB |

root@p825904:~#

И хостер приблизительно такие же цифры рисут в личном кабинете. Ну как голый debian на котором еще ничего нет может столько трафика сгенерировать?

хостер и vnstat показывают одинаковые цифры

iftop не видит этого трафика

для меня это загадка

запустите на пару часов (в tmux)

sudo tcpdump -w ~/eth0.dump -ni eth0

потом скачайте файл ~/eth0.dump себе на компуктер и запустить

wireshark ./eth0.dump

и сравните с vnstat/хостером

Дядь, ты в интернете. Интернет подразумевает что кто угодно можно отправить пакетик на твой адрес. Если есть возражения - выдерни шнур, выдави стекло.

Для меня тоже. С чего все началось. Я вчера купил vds для учебы и заодно накатил на него 3x-ui. На роутере у меня podkop. Весь запрещенный рафик идет через vds знакомого через сервер во Франкфурте. Пустил сюда только ютуб и вечером немного ютую посмотрел и удивился когда посмотрел на трафик в 3x-ui и в личном кабинете. Сегодня в личном кабинете заказал переустановку системы чтобы на чистой системе посмотреть и ничего не могу понять.

vds не vDs и видишь чужой трафик.

консольная утилита iptraf.

Перезагрузил сервер полчаса назад. Учитывая что vnstat каждые 5 минут то можно считать что цифры приблизительно равны. За это время iftop -i eth0 насчитал около 4 мегабайт. root@p825904:~# vnstat -h

eth0 / hourly

     hour        rx      |     tx      |    total    |   avg. rate
 ------------------------+-------------+-------------+---------------
 14-04-2025
     07:00    244.85 MiB |  125.89 MiB |  370.74 MiB |  863.89 kbit/s
     08:00    115.75 MiB |    1.97 MiB |  117.72 MiB |  274.30 kbit/s
     09:00    121.19 MiB |  541.95 KiB |  121.72 MiB |  283.62 kbit/s
     10:00    382.00 MiB |  605.11 KiB |  382.59 MiB |  891.50 kbit/s
     11:00    120.10 MiB |    1.74 MiB |  121.85 MiB |  283.92 kbit/s
     12:00      0.99 GiB |    2.38 MiB |    0.99 GiB |    2.37 Mbit/s
     13:00    141.25 MiB |    9.32 MiB |  150.57 MiB |  350.86 kbit/s
     14:00    119.69 MiB |    3.32 MiB |  123.01 MiB |  286.63 kbit/s
     15:00    121.25 MiB |   10.05 MiB |  131.30 MiB |  305.94 kbit/s
     16:00    118.59 MiB |    4.58 MiB |  123.18 MiB |  287.02 kbit/s
     17:00     49.55 MiB |    1.76 MiB |   51.31 MiB |  286.93 kbit/s
 ------------------------+-------------+-------------+---------------

root@p825904:~# ip -s -h -c link show eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 00:00:00:82:59:04 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped missed mcast
59.3M 961k 0 0 0 0 TX: bytes packets errors dropped carrier collsns
2.05M 8.97k 0 0 0 0 altname enp1s0 root@p825904:~#

очевидно что вам много мусора от «соседей» прилетает.

Я подозреваю что по какой-то причине этот мусор не попадает в pcap интерфейс.

В принципе, если много времени и энтузиазма - можно разобраться почему этот мусор (трафик) не попадает в pcap.

Если у хостера оплаты за гигабайты нет, и ваши счетчики внутри и снаружи совпадают - то можешь забить.

Плюнул.У этого «пробного» хостера исходящий ограничен примерно 2 террабайтами в месяц то есть если поделить на 31 на день получается по 66 гигабайт в день. При «паразитном» назовем его так трафике даже если его принять грубо в среднем за 150 мегабайт в час, за сутки пусть будет 3,6 гигабайта. Для меня остается 62,4 гигабайта и я решил забить и дальше не разбираться тем более что пока моих знаний для этого явно не достаточно.

Плюнул

Жаль! Я с интересом следил за сюжетом.

На исходящий лимит заметно меньше - 200GB. С другой стороны, после превышения лимита скорость режут до 1Mbps, что для многих задач достаточно.

При достижении объёма трафика 2000 ГБ исходящего или 200 ГБ входящего скорость ограничивается до 1 Мбит/с до конца расчётного месяца.

Можно еще настроить файрвол, то есть iptables ... -j LOG, и смотреть его логи.