VPS 持续高带宽下载却无法定位进程

绿云这个 vps 第三年了，马上就要续费了，一直用着好好的，并且两个月前还换了一次服务器。今天突然出现大量的下载。

平时跑的程序有 mihomo/frp/docker ，docker 只跑了两个自己的程序。

出现高下载的时候出现了 virtio_net 内核死锁导致的内核崩溃，系统宕机了 15 分钟，我这时候才发现有高下载问题。

通过 nethogs 查看 ? root unknown TCP 0.348 35687.941 KB/sec，其余进程(mihomo)的下载都正常的，只有这个 ? 出现大量高下载。

我尝试过停下 docker/停下 mihomo ，这个下载是存在，并且重启过服务器，重启过后，还是有大量的下载。

我使用命令 nload eth0 查看确实是在这个网卡上下载。

并且我使用 htop 命令查看高下载时候并没有任何程序在大量读写 IO 。

这个大量下载持续了两个半小时，断断续续的，并没有一直高速下载，而是下载一会就停了，过会又开始。

到现在为止已经有两个小时没有再发生。然而我也没做任何操作。

我遍历了所有的程序（开机自启），并没有发现可疑程序。并且我一直装着 fail2ban:

Status for the jail: sshd
|- Filter
|  |- Currently failed:	4
|  |- Total failed:	171
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	3
   |- Total banned:	23
   `- Banned IP list:	217.154.62.22 45.140.17.124 45.135.232.177

通过上述问题描述，帮我分析下，或者还有哪些工具可以排查一下。

vnstat 输出:

   eth0 since 2025-09-22

          rx:  532.42 GiB      tx:  316.35 GiB      total:  848.77 GiB

   monthly
                     rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
       2025-10    179.46 GiB |  143.27 GiB |  322.73 GiB |    1.04 Mbit/s
       2025-11    284.93 GiB |  110.78 GiB |  395.71 GiB |    2.69 Mbit/s
     ------------------------+-------------+-------------+---------------
     estimated    584.48 GiB |  227.24 GiB |  811.72 GiB |

   daily
                     rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
     yesterday     10.08 GiB |    9.86 GiB |   19.94 GiB |    1.98 Mbit/s
         today    177.88 GiB |    5.35 GiB |  183.23 GiB |   29.15 Mbit/s
     ------------------------+-------------+-------------+---------------
     estimated    284.61 GiB |    8.56 GiB |  293.18 GiB |