震惊！笔记本在待机，机场流量却狂飙，幕后黑手竟是……

备选标题：

咳咳，标题致歉，单纯玩梗罢了，说正事

这天莫名观测到笔记本在没有运行任何下载任务的情况下会出现 10MB/s 左右的上传 & 下载流量

坦白说如果只有下载流量我或许只是觉得什么东西在后台更新之类的，但是有上传流量就很不对劲了，第一反应是有什么奇奇怪怪的东西在后台偷跑，但是我自认为我平常的使用习惯和网络安全意识还算可以……

随后检查了任务管理器，发现只有 Clash Kernel 在占据网络带宽

多次尝试后发现，只要启动 Clash 并且端口号保持在默认的 7890 就会出现神秘的上传下载流量

（查到这里的时候发现我的一个订阅因为一直被刷流量导致用完了……难蚌）

随后检查了 Clash 的连接列表，看到有两个陌生域名各挂了几十个连接在疯狂上传和下载，来源这一栏只显示了一个神秘的远程 IP 地址而不是本地进程名称，但是由于对 Clash 并不够了解，当时并没有注意到这意味着什么

1
创建时间 2026-06-04 20:09:41
2
网络类型 tcp
3
规则 Match
4
主机 *********.com
5
来源 134.195.158.62:57452
6
目标地址 103.***.***.***:443
7
目标地理定位 hk
8
DNS模式 normal

访问了一下其中一个连接的主机，结果发现是神秘不良小网站……

到这里有点不知道该怎么办了，遂询问 Claude，Claude 在我提供了连接详情的前提下给出了“是机场订阅的 PCDN 问题”的回答

这个回答肯定不靠谱，为什么机场需要通过我跑 PCDN，机场主既然做机场业务了，自己的服务器肯定能够提供大量流量，并且如果跑 PCDN 是有存储需求的才对，但是我这里观察不到什么软件在读写内存/硬盘¹

于是转战 Gemini，Gemini 立即明确地指出我的 Clash 端口已经彻底暴露在公网上了。虽然我仍然认为我没有开什么奇奇怪怪的端口，但是 Gemini 的回答中关于 UPnP 的部分让我猛然一惊，赶紧打开路由器后台翻找一番，最后发现笔记本被我之前设为了 DMZ 主机²，完全暴露给了公网……一想到自己的笔记本在公网上“裸奔”了好几天就冒冷汗（当然 Windows 的防火墙还是开着的），赶紧关掉了 DMZ。

Gemini：“这可比 UPnP 还要生猛得多。”

我是在之前测试笔记本上网络连通性的时候开的 DMZ，但是我也明确记得我关掉了它。这件事告诉我们在开关某项设置的时候，一定要刷新一下确认更改有没有生效……

另外，任务栏显示实时网速这个功能还是挺有用的……在这里也推荐一下 TrafficMonitor 这个小工具，要不是有它我可能还真注意不到这次的情况