如果你在执行 <code>top 命令时发现 tcpdump 负载很大，但你并没有主动执行这个命令，这可能是由以下几种情况引起的：

后台监控： 可能有一个管理网络安全或性能的系统监控工具在后台运行 tcpdump 来捕获和分析网络流量。这类工具可能由系统管理员或自动化脚本安装和运行。

定时任务： tcpdump 可能通过 cron 作业或其他定时任务调度程序被自动启动。检查 crontab -l 或 /etc/cron.* 目录下的文件，看是否有相关的定时任务设置。

服务或进程： 某些服务或守护进程可能需要捕获网络流量，并隐式调用 tcpdump。例如，网络性能监测服务可能需要这样的数据。

安全事件： 如果服务器被未经授权的用户访问，tcpdump 可能被用来秘密捕获网络流量。确保检查系统是否遭到入侵。

为了识别是什么程序或脚本调用了 tcpdump，你可以采取以下步骤：

查看进程信息： 使用 ps 命令查看 tcpdump 的父进程信息，这可能会告诉你哪个进程启动了 tcpdump。例如：

ps -ef | grep tcpdump

查看输出中 tcpdump 进程前面的 PID（进程ID）和 PPID（父进程ID），然后根据这些ID进一步追踪。

查看进程树： 使用 pstree 命令可以显示进程的树状结构，帮助你识别启动 tcpdump 的父进程。

检查系统日志： 查看 /var/log/ 目录下的系统日志文件，可能会找到启动 tcpdump 的相关记录。

审计日志： 如果系统启用了审计功能，可以通过审计日志来追踪 tcpdump 的执行。使用 ausearch 或 auditctl 等工具来查看审计日志。

网络监控工具： 如果你的系统上安装了任何网络监控工具，检查这些工具的配置，看看它们是否设置了自动运行 tcpdump。

检查安全工具： 检查是否有防火墙规则、入侵检测系统 (IDS) 或其他安全工具可能会触发这种行为。

如果你怀疑系统安全已经受到威胁，应立即采取行动，如运行安全扫描，检查未授权的访问，更新系统和安全工具，以及咨询专业的安全专家。此外，更改系统密码并审查用户帐号也是一个好的预防措施。