Làm thế nào để tìm ra những gì hoặc ai đang sử dụng băng thông của tôi?

Thành thật mà nói, tôi kém về quản trị máy chủ, nhưng ông chủ của tôi đã nhờ tôi giúp đỡ. Máy chủ của anh ấy có băng thông hạn chế 2GB / ngày và hôm nay anh ấy đã nhận được cảnh báo từ công ty rằng anh ấy đã vượt quá và sử dụng ... 24GB.

Vì đó là điều không thể vì anh ấy là người như vậy, anh ấy hỏi tôi có thể theo dõi vấn đề không. Tôi không biết bắt đầu từ đâu hoặc phải làm gì.

Bất kỳ thông tin nào sẽ hữu ích làm thế nào tôi có thể tìm ra những gì sai.

Máy đang chạy trên Ubuntu 12.04. Điều gây tò mò nhất là, theo sơ đồ nhận được từ hoster, chỉ có chuyển khoản đi được sử dụng.

BIÊN TẬP

Cảm ơn các đề xuất, tôi sẽ chạy tcpdump và thử kiểm tra kết quả

Để theo dõi ngay lập tức bạn có thể sử dụng iftop . Điều này sẽ cho bạn thấy các kết nối hiện đang hoạt động và băng thông họ đang sử dụng. Khi bạn đã xác định kết nối lưu lượng truy cập cao, hãy tìm số cổng cục bộ và sử dụng netstatđể tìm quá trình kết nối thuộc về.

sudo netstat -tpn | grep 12345

Để theo dõi lâu dài hơn, tôi sẽ đề xuất một cái gì đó như darkstat . Điều này có thể cung cấp cho bạn bảng phân tích trên mỗi máy chủ và cổng có thể cho phép bạn tìm ra lưu lượng truy cập có liên quan đến điều gì.

Tôi khuyên bạn nên cài đặt ntop.

http://www.ntop.org/

Đặt nó trên một vị trí cổng máy chủ / bộ định tuyến và xem lưu lượng truy cập trong một ngày / tuần. Ntop cung cấp giao diện người dùng web nơi bạn có thể nhận được sự cố bằng IP / cổng / giao thức.

Chà, một gói chụp thường là nơi đầu tiên để bắt đầu trong những tình huống như thế này. Đảm bảo rằng tcpdump được cài đặt ( $ sudo apt-get install tcpdump), rồi chạy như sau:

$ sudo tcpdump -w packet.log

Điều này sẽ viết một bản ghi của tất cả các gói đến packet.log. Để nó chạy trong vài phút, sau đó tải xuống tệp đó và kiểm tra bằng Wireshark . Nếu lưu lượng truy cập bí ẩn vẫn đang xảy ra, nó sẽ khá rõ ràng với một cái nhìn lướt qua dữ liệu chụp gói.

Có một cái nhìn tại tcpdump . Nó có thể kết xuất tất cả lưu lượng truy cập mạng (không chỉ tcp như tên sẽ đề xuất) mà sau đó bạn có thể đọc bằng một ứng dụng như Wireshark. Trong Wireshark, rất dễ dàng để lọc một số loại dữ liệu nhất định và thậm chí vẽ đồ thị của I / O mạng.

Một công cụ hữu ích khác có thể là netstat hiển thị danh sách các kết nối mạng đang diễn ra. Có lẽ có những kết nối không nên có. Tcpdump hữu ích hơn nhiều (chụp vài phút, sau đó kiểm tra xem bạn đã có thể xem nguồn chưa), nhưng netstat có thể cung cấp cho bạn tổng quan nhanh.

Nhân tiện, khi đọc điều này, suy nghĩ đầu tiên của tôi là bạn có phần mềm độc hại trên máy chủ của mình hoặc nó đang được sử dụng cho các cuộc tấn công khuếch đại. Nhưng để kiểm tra điều này, bạn sẽ cần chạy tcpdump trước.

Chỉnh sửa: Lưu ý rằng tcpdump có thể cần được chạy dưới quyền root, có lẽ bạn cần sử dụng sudo tcpdump.

Một chỉnh sửa khác: Vì tôi thực sự không thể tìm thấy một trang web tốt để liên kết về các cuộc tấn công khuếch đại nói chung, đây là một phiên bản ngắn:

Các giao thức như DNS chạy trên UDP. Lưu lượng UDP không có kết nối và do đó bạn có thể dễ dàng giả mạo địa chỉ IP của người khác. Vì câu trả lời DNS thường lớn hơn truy vấn, nên câu hỏi này có thể được sử dụng cho một cuộc tấn công DoS. Kẻ tấn công gửi một truy vấn yêu cầu tất cả các bản ghi mà máy chủ DNS có trên một tên cụ thể và thông báo cho máy chủ DNS rằng yêu cầu bắt nguồn từ X. X này là mục tiêu mà kẻ tấn công muốn thực hiện. Sau đó, máy chủ DNS vui lòng trả lời, gửi trả lời (lớn, giả sử 4kB) cho X.

Đây là sự khuếch đại vì kẻ tấn công gửi ít dữ liệu hơn X thực sự nhận được. DNS không phải là giao thức duy nhất có thể.

Công cụ tốt nhất cho việc này có lẽ là iftop và dễ dàng apt-get'able thông qua sudo apt-get install iftop. Nó sẽ hiển thị đầu ra theo IP / tên máy chủ của thủ phạm:

             191Mb      381Mb                 572Mb       763Mb             954Mb
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local            => box-2.local                      91.0Mb  27.0Mb  15.1Mb
                      <=                                  1.59Mb   761kb   452kb
box4.local            => box.local                         560b   26.8kb  27.7kb
                      <=                                   880b   31.3kb  32.1kb
box4.local            => userify.com                         0b   11.4kb  8.01kb
                      <=                                  1.17kb  2.39kb  1.75kb
box4.local            => b.resolvers.Level3.net              0b     58b    168b
                      <=                                     0b     83b    288b
box4.local            => stackoverflow.com                   0b     42b     21b
                      <=                                     0b     42b     21b
box4.local            => 224.0.0.251                         0b      0b    179b
                      <=                                     0b      0b      0b
224.0.0.251           => box-2.local                         0b      0b      0b
                      <=                                     0b      0b     36b
224.0.0.251           => box.local                           0b      0b      0b
                      <=                                     0b      0b     35b


─────────────────────────────────────────────────────────────────────────────────
TX:           cum:   37.9MB   peak:   91.0Mb     rates:   91.0Mb  27.1Mb  15.2Mb
RX:                  1.19MB           1.89Mb              1.59Mb   795kb   486kb
TOTAL:               39.1MB           92.6Mb              92.6Mb  27.9Mb  15.6Mb

Đừng quên các tiện ích sar và netstat cổ điển và mạnh mẽ trên * nix cũ!

Một công cụ tuyệt vời khác là nload , một công cụ tuyệt vời để theo dõi băng thông trong thời gian thực và dễ dàng cài đặt trong Ubuntu hoặc Debian với sudo apt-get install nload.

Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:


                               .         ...|
                               #         ####|
                           .. |#|  ...   #####.         ..          Curr: 2.07 MBit/s
                          ###.###  #### #######|.     . ##      |   Avg: 1.41 MBit/s
                         ########|#########################.   ###  Min: 1.12 kBit/s
             ........    ###################################  .###  Max: 4.49 MBit/s
           .##########. |###################################|#####  Ttl: 1.94 GByte
Outgoing:
            ##########  ###########    ###########################
            ##########  ###########    ###########################
            ##########. ###########   .###########################
            ########### ###########  #############################
            ########### ###########..#############################
           ############ ##########################################
           ############ ##########################################
           ############ ##########################################  Curr: 63.88 MBit/s
           ############ ##########################################  Avg: 32.04 MBit/s
           ############ ##########################################  Min: 0.00 Bit/s
           ############ ##########################################  Max: 93.23 MBit/s
         ############## ##########################################  Ttl: 2.49 GByte

Sau khi tìm kiếm khá lâu vấn đề (băng thông trên 60 GB trong vài ngày), tôi phát hiện ra rằng máy chủ của mình là nguồn tấn công DDOS.

Trước hết, tôi đã cố gắng cài đặt Oracle DB trên nó, do đó tôi đã tạo ra người dùng oracle. Các tin tặc bằng cách nào đó đã vượt qua được người dùng đó (tôi đoán tôi nên làm cho nó khó hơn :(), chúng đã tạo một đường dẫn ẩn dưới nhà của Oracle, với một crontab ở đó, chạy một số deamon thủ công làm ngập máy chủ mục tiêu.

Hơn nữa, tin tặc đã tạo ra 2 người dùng mới trên máy chủ của tôi: avahi và colord. Tôi nên làm gì về họ? Tôi googled và dường như phần mềm có cùng tên không nguy hiểm, nhưng tôi đã xóa những người dùng đó (và cả nhà tiên tri nữa).

Futheremore tôi đã xóa toàn bộ nhà tiên tri, với tất cả mọi thứ trong đó.

Tôi đoán tôi cần bảo mật máy chủ của mình nhiều hơn, vì nó có thể bị tấn công lần nữa, cảm ơn mọi người đã giúp đỡ!

Nắm bắt tất cả các gói được gửi trong một ngày khi bạn vượt quá hạn mức băng thông có thể không phải là cách tiếp cận hợp lý nhất - làm thế nào bạn sẽ lấy dữ liệu của hệ thống để phân tích?

Bạn có quyền truy cập nào trên hộp? Những cổng nào được mở? Bạn đã kiểm tra nhật ký cho các dịch vụ đang chạy chưa? Một cái gì đó như awstats sẽ tóm tắt nhật ký FTP, HTTP và SMTP (giả sử các máy chủ này được cấu hình để ghi dữ liệu vào nhật ký). OTOH mrtg sẽ ghi lại và theo dõi việc sử dụng mạng theo điểm cuối / cổng.

Nếu bạn nghĩ rằng băng thông của bạn là apache, thì tôi đã thành công với công cụ này trong quá khứ

đỉnh apache

http://www.howtogeek.com/?post_type=post&p=324