云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 云服务器带宽跑满了,怎么排查?

[复制链接]
当流科技 发表于 2017-9-17 23:56:54 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

) S0 d" L* Y0 r4 N6 s2 a带宽跑满的情况分析:
0 g3 ]7 C( m" e7 N  m9 E' i4 Z2 Z4 V& a9 P' k; `, n
由于大部分托管商流入带宽不限,所以本文主要阐述服务器流出带宽跑满的情况。
5 M5 r: S1 H1 h1 h& ]  J7 l! |. p7 {5 z5 u  n$ {6 f. C. ^
流出带宽跑满主要有两种情况:
/ }: q6 i( B7 e7 L* I" \7 ~& M* A; ]( `* W" \9 ]
1、  正常业务流量跑满,即外部下载服务器上的资源。
; t2 }: M. G4 Y: m3 r9 E; ~' k. U# h' Z. Z! @: Q8 u- n6 C
2、  非正常服务流量,即可能对外攻击。
% _3 `1 e. N6 K6 O. z
3 Q; f- `6 T  H# m6 U下面根据linux和windows平台阐述一下上述三种情况的检查方法:5 R0 f- J0 B! |* m+ A9 T
3 |% |; Q3 J7 a  I9 O) |
一、Linux平台6 p+ X+ m8 n( z+ ?- x. M1 d
: a3 n, W% B* T! d; k% P# u
首先可通过tcpdump抓包看查看流量详情,如果都是外部访问服务端口的流量,那可暂时排除服务器被肉鸡对外攻击。  J. I+ H2 [2 k  y

+ P! ^  }6 k$ f6 r3 r6 k% j6 \. C3 {* _如果是服务器有大量对外固定的IP或者端口产生大量流量,那么可能服务器被入侵对外发包了。
. G& N4 O. z6 u$ d; q% Z8 w/ n. h
3 ^7 v" o! ~9 ^7 b. H ; M0 ^5 {: h) Q) N1 V# M! d
4 a6 [9 f7 W1 X* ]8 h/ q
(1)正常流量跑满的分析处理
) v- B. q" j2 Z/ O7 s  k2 A9 X$ S; X+ X7 c# Z; ?# l$ x5 C9 u
这时候可以通过iftop或者iptraf看一下服务器的流量走向,如果部分IP持续流量很高,很有可能这部分恶意IP在大量下载服务器的资源,可对异常IP进行限制访问。2 n4 V( _" N$ c* ^& ^! e6 e

2 [% F8 C- }1 g1 \- C% Y, s: r若很多IP流量都很高,可能服务器存在较大的文件,比如在线播放的视频,热门资源文件等,可通过查看访问日志看这些IP访问的是什么文件,然后反馈进行处理,比如:
: k  `4 H( e) @6 d) x& E0 t
% Q+ S# _9 A9 V, B' c1、图片进行压缩2 s# Y! H/ s$ F; M; V& l
; `# N. ^& E1 G' m
2、视频不设置自动播放,降低码率
6 o! N) O. _# L* J" M  J9 @& A7 y* x) B7 _' K0 E
3、  所有静态文件配置GZIP压缩,可适当提高压缩级别(会增加服务器CPU消耗)
- R* t8 h/ F. V
# j+ T- q" Y! \$ V4、  配置单链接限速(会降低网站访问体验)
; _. a5 o- e3 Q3 I1 z8 M5 n1 [: a7 K6 l: J1 h. {' G! N
5、 使用CDN(建议)! [6 G# h" {) |& L# S" \& F2 A% g
, n( i" L1 b% I0 C
6、 升级带宽(建议)8 c. ~  N( `" g% ~3 z0 Q
/ {: H( ?- ^# D' q; i4 R$ h
(2)被肉鸡对外发包导致流量跑满的分析处理9 ^* f" x& L7 u1 U; P
0 z& |8 F/ G8 n" \5 l+ P% l. e
对外发包,首要处理的事情就是判断对外发包的程序是什么,一般有可能被放置客户端恶意程序比如iptableX等,也有可能被放置了webddos程序比如利用php的fsockopen函数进行phpddos。9 z, B4 q5 g* J4 P

: ^3 C$ J  M, `5 ^判断发包程序的方法如下:
8 j" e3 K1 a& F& w" }$ Y: {/ q
; K  l: i" i; P9 J# `: z6 [* s# LLinux下可通过iptraf,nload,iftop,nethogs等方式查看流量,其中iptraf可以查看到哪些IP那些端口流量比较大,可判断流量来源的程序。若这里无法判断可通过nethogs是可以查看到具体的流量进程的。' K/ b* h, l1 p$ s4 s( O

" `$ D3 W+ g  q: ~  N/ xCentos/redhat可配置阿里云的epel镜像源,然后yum install nethogs –y即可9 ?# W% ~) k8 i+ D% o" t

9 Q" q; O" q6 c1 A5 w( x两个软件的使用截图如下:
; _1 k3 _2 h. ~) k! [0 `1 t0 P6 ~* j) l; N) V
Nethogs, o; `& v+ p5 x# f
ddaa.png
$ w3 A( u' I* q/ }* V/ G5 a/ @nethogs
: V7 w4 X& R$ m3 r- f0 O
9 v1 p4 Q  |. Z- `, o! \0 v* f
, `1 x& B* T7 Q, pIptraf:
. l1 n& X6 O3 {8 |5 O3 A6 K2 Q
8 Y  f, z) d. e, V; ]* k( ?4 P. v6 r, o5 _0 T, U8 @
dad.png # H0 p0 b  j3 I
iptraf% M, \  d! A/ n1 v
! x  u- S/ l/ u2 L8 x/ c
; }+ u/ L+ i2 g5 |( n: O+ B! m$ W
软件简单明了,使用方法不再赘述。
* X) {. @6 M5 I8 ^6 `0 [# z$ }
定位到流量产生的进程后,若是phpddos等可通过禁用函数临时解决,然后让检查程序。
& W9 T5 ], D6 c8 @. A* G+ S3 J1 B4 V$ s' i! R
若是病毒程序发包,删除处理并对系统做检查。- X: J% i, m! ?/ n: ~( z

! z% ]: Q8 J) r5 z7 |7 K二、windows平台" t( h% |0 @$ d

2 P6 t+ |2 h$ T6 S可通过NC或者beaver抓包判断是正常业务流量还是对外攻击。
+ L2 A6 w4 ~) T" E& R- s, L- _
1 @, N2 D7 O% _/ f(1)正常流量跑满的分析处理
& X% g$ W' W% \& ?! ?. X" i5 u( q4 L  q, ?; T' x
处理方法同linux
5 Q4 }% T1 f, q7 C/ O8 w+ Z* |) V2 O
& L1 y. h9 G8 y4 Q3 z" l(2)对外攻击导致流量跑满的分析处理) S  \; {0 i+ [5 h" V: X1 F

* T0 u3 _0 J9 A! ^2003系统:
- A& W. c+ g1 l+ D& Q2 P, z
# _/ d5 z6 o) z4 C+ D可通过processex或者360流量监视器按照流量排序来查看异常的进程。2 ~  ]  x0 Q1 ?4 }

4 w4 b/ k9 T0 j' I4 K! @ fffffffff.png
* \  C2 C$ K+ T& X" o8 Y5 t% t
% H. P, `( y$ u, k使用processex的话需要选择网络的列,如下:
) d* O2 w4 q/ e4 h: g+ l6 p% J
  M, ]' o# V" P$ [8 u adddddddd.png
; d+ C; n  m! b3 O# _8 R* n$ h$ N- w& H: J) C+ `. r# Y  c) S3 B
2008系统:8 ?8 n( _% g7 V! W9 E
) a! ~0 ~7 y1 l% E+ l
使用资源监视器查看发包的进程,然后进行处理即可。截图如下:: w! \, Y& ^. |4 V0 u) t, r
fasasf
& _9 D/ A/ k2 W0 Q6 _$ f$ W7 d% Y3 z) y- z* @2 i: I1 j
找到异常程序后,终止进程,然后全盘杀毒检查。
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

宝塔面板如何添加和管理Mysql数据库?

主讲:xotexa372 服务器学院

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群