Clash For Windows 自己疯狂跑流量是怎么回事

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 673 天前的主题，其中的信息可能已经有所发展或是发生改变。

目前现象如下：我电脑上装有网速监控软件，当 clash 打开的时候，并且没有开启系统代理的情况下，网络监控中的上下行带宽大幅增加。

同时 clash 自带的面板显示上行网速增加，下行网速倒是正常，日志界面中也有大量日志数据，并一直在刷新，截图如下。

关闭 clash 之后，一切正常，不知道是什么原因，请大家分析一下

第 1 条附言 2023-12-09 14:21:45 +08:00

破案了，我的宽带有公网 ip ，然后路由器开启了 dmz 功能，转发到我的电脑上，由于之前 clash 配置的允许局域网访问，所以相当于公网 ip 的 7890 端口会转发到我的电脑的 clash 上，估计今天是被人探测到了，白嫖了我的网络

Clash

网速

日志

如下

48 条回复 2023-12-10 22:07:21 +08:00

estk

2023-12-09 13:04:04 +08:00 via iPhone

在给节点测速？

kaedea

2023-12-09 13:22:29 +08:00 via Android

你开代理的软件流量都算到 VPN 头上了

sniperking1234

2023-12-09 13:24:31 +08:00 via iPhone

@estk 应该不是，持续超过 20 分钟了

szdosar

2023-12-09 13:25:18 +08:00 via iPhone

有公网 ip ？某个（些）版本有漏洞，被人刷流量了

sniperking1234

2023-12-09 13:27:56 +08:00 via iPhone

@kaedea 这应该是 clash 自己产生的，和其他软件没关系

610915518

2023-12-09 13:37:12 +08:00

点开 Connections 看看

Greatshu

2023-12-09 13:40:26 +08:00

目测是 clash 的 bug ，之前在 clash-core ，还是 cfw 的 issue 里看到过类似的问题，用 TCPview 看一下

sniperking1234

2023-12-09 13:43:02 +08:00

@610915518
https://z1.ax1x.com/2023/12/09/pi25UGF.png

qq565425677

2023-12-09 13:43:33 +08:00

看看 connection 在和哪个域名通信，然后搜一下这个域名

sniperking1234

2023-12-09 13:46:12 +08:00

@szdosar 是公网 ip ，clash 还会对外暴漏端口么

sniperking1234

2023-12-09 13:49:30 +08:00

@qq565425677 connection 信息里面没有域名，只有 ip 地址，我搜了几个 ip 地址，都是俄罗斯、乌克兰的，难道真被攻击了？

Shiroka

2023-12-09 13:49:36 +08:00 via iPhone

@sniperking1234 你全打码了，还让大家分析个球...

luckykong

2023-12-09 13:50:45 +08:00

应该是配置出错误了，你改改 DNS 或者 Tun 的配置？你截图上，涂掉的内容，是不是全部都是 IP 地址？看不到任何域名？正常情况下，这里应该显示很多域名，而不是 IP 的。
先关掉这些高级设置，试试就用浏览器扩展 + 本地端口代理的模式？

EricXuu

2023-12-09 13:52:04 +08:00 via Android

看下源端口，找找是啥进程发起的

sniperking1234

2023-12-09 13:52:14 +08:00 via iPhone

@Shiroka 我不清楚会不会暴扣我自己的网络信息，一会我发一张没打码的

apiman

2023-12-09 13:53:58 +08:00

你自己查一下上传流量的来源和目的地啊

sniperking1234

2023-12-09 13:54:35 +08:00

https://z1.ax1x.com/2023/12/09/pi252GD.png

无码的 connection 信息

sniperking1234

2023-12-09 13:58:02 +08:00

@EricXuu 像这种 source 和 destination 都不是我本机 ip ，很奇怪
https://z1.ax1x.com/2023/12/09/pi25WxH.png

sniperking1234

2023-12-09 14:02:43 +08:00

我把 clash 里面允许局域网关掉之后，一切正常的，难道我局域网内设备被攻击了？
https://z1.ax1x.com/2023/12/09/pi25LRg.png

eaststarpen

2023-12-09 14:24:03 +08:00

@sniperking1234 https://clash.razord.top/

这个能看 src ip 和 dst ip

看看请求是从什么设备发出的

x86

2023-12-09 14:33:27 +08:00

哈哈，今早我还问网管来着，一台备份的服务器不知道怎么网关解析到我一台 shellclash 上去了，跑了我 30 多 g 流量

TaurusXin

2023-12-09 14:33:42 +08:00 via iPhone

我遇到过，Windows 的 CFW 开了局域网访问，然后刚好给这台电脑开了 DMZ ，CFW 的端口开放给公网就被扫到了，把 DMZ 关掉就行了

kaedea

2023-12-09 14:35:56 +08:00 via Android

@sniperking1234 抓包看看？

shwomen1234fs

2023-12-09 15:02:20 +08:00

可能偷跑，看看这个视频是不是这个问题

MYDB

2023-12-09 16:13:51 +08:00

问=被白嫖了这么久还没解决

cy18

2023-12-09 16:14:08 +08:00

这下知道哪些免费 clash 节点哪来的了...

googlefans

2023-12-09 17:48:03 +08:00

是最新版吗？

SekiBetu

2023-12-09 17:53:25 +08:00

闭源内核是这样的

gzlock

2023-12-09 17:55:57 +08:00

楼主这是网络配置的问题，怎么有些回复还怪到闭源上了

EasonSummer

2023-12-09 18:04:10 +08:00

DMZ 功能。。。要转发端口也一个个自己转发呢

ochatokori

2023-12-09 18:25:49 +08:00 via Android

哈哈，我还没点进来就猜到是放出去被人用了，之前 v 站也有一个一样的

DogBear

2023-12-09 18:29:59 +08:00 via Android

拨号路由器用 shaodowsocksr+ 开局域网 socks 服务端，被扫出来滥用害我 vps 收了 8 个 email abuse

bclerdx

2023-12-09 18:33:56 +08:00 via Android

@SekiBetu 为何会这样？

Godjack

2023-12-09 18:41:42 +08:00

@sniperking1234 #19 [[Bug]: 如果发现自己 Clash 资源占用率极高 / 日志卡死 / 连接数异常增加，请考虑关闭 Allow-Lan·Issue #2769·Fndroid/clash_for_windows_pkg·GitHub]( https://web.archive.org/web/20230321145521/https://github.com/Fndroid/clash_for_windows_pkg/issues/2769)