云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 云服务器带宽跑满了,怎么排查?

[复制链接]
当流科技 发表于 2017-9-17 23:56:54 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
( u' l* s& j& ^: u" g
带宽跑满的情况分析:% l3 E" S$ j5 y

- k( P! L3 g6 d由于大部分托管商流入带宽不限,所以本文主要阐述服务器流出带宽跑满的情况。
* _- y* [7 f. s4 Y5 L4 M* N( P/ i2 O0 G9 O. O9 V: V7 O8 K! a1 o' Y
流出带宽跑满主要有两种情况:
! N. K( k. D; I" U+ }+ C
/ l# j( k" `% g3 s, g6 M% X/ p1、  正常业务流量跑满,即外部下载服务器上的资源。( R( S; g  T' C$ i7 r

+ ~4 s( R: o6 D5 E( L) n2、  非正常服务流量,即可能对外攻击。
7 Y2 w  |/ I: L1 N2 j$ _4 d0 ?6 P) C$ O7 U
下面根据linux和windows平台阐述一下上述三种情况的检查方法:
4 S# O$ n4 u4 Q( F; m( j
0 Q: H2 r2 _  r1 F  ^' q; w0 `一、Linux平台3 ?5 u9 E, e) Q* c- q# |0 C" Z

0 h  _% Y/ s2 i8 G" D' B/ ~* L首先可通过tcpdump抓包看查看流量详情,如果都是外部访问服务端口的流量,那可暂时排除服务器被肉鸡对外攻击。
+ \6 p$ G) q. Q+ P
0 N( `* O- O. j# v# o3 Y如果是服务器有大量对外固定的IP或者端口产生大量流量,那么可能服务器被入侵对外发包了。
2 O* Q: o. D  \; Z: U7 N! z8 `) ?4 \* N3 v. z. D/ F5 ^
* o3 R* J# \$ ?- o% v3 V
( D: I; F$ N% u9 n
(1)正常流量跑满的分析处理' d. M' G' C1 o* E  t% J& t/ W+ b

: _! l% k4 e' K2 b1 i% ]! H这时候可以通过iftop或者iptraf看一下服务器的流量走向,如果部分IP持续流量很高,很有可能这部分恶意IP在大量下载服务器的资源,可对异常IP进行限制访问。
% [4 ~* Z$ M4 X# Z9 J9 F
; D% [) ~0 Q2 [8 s3 k6 v/ r$ R若很多IP流量都很高,可能服务器存在较大的文件,比如在线播放的视频,热门资源文件等,可通过查看访问日志看这些IP访问的是什么文件,然后反馈进行处理,比如:" P! \8 m1 R) z, y$ |9 P" o

$ a2 }2 C' O$ Y( {+ E3 A% I% ^1、图片进行压缩
) L1 ~/ f# T$ f7 ]5 Z' S  p- i1 M$ B5 T2 P, x4 C4 T* i/ E5 |
2、视频不设置自动播放,降低码率
' `* D9 R7 ~9 X. ?9 A6 {1 }: o2 D* l4 b7 R6 z: r
3、  所有静态文件配置GZIP压缩,可适当提高压缩级别(会增加服务器CPU消耗)3 H3 r! g; g& J4 U4 I

4 R$ M1 z! d8 J  ?4、  配置单链接限速(会降低网站访问体验)6 X# Q  L9 J/ x1 E3 }

6 J2 x  J8 ^6 g; w5、 使用CDN(建议)% l, p# k( h: D% O- m
  o; B7 P: }. H+ Z! g. [4 c% F/ m7 }
6、 升级带宽(建议)
% W& |, z0 `$ f( i$ D! u5 _2 h
9 m" B0 G7 }. } (2)被肉鸡对外发包导致流量跑满的分析处理3 M* b2 T4 }5 Z' _# \- Z0 v

( `3 r! D# r0 B4 z7 L$ ^7 h对外发包,首要处理的事情就是判断对外发包的程序是什么,一般有可能被放置客户端恶意程序比如iptableX等,也有可能被放置了webddos程序比如利用php的fsockopen函数进行phpddos。, p) \; ?) d+ F3 V! m: N
! p8 |: j! r+ U$ c+ _' g$ I& Q0 c5 x
判断发包程序的方法如下:) w  a" t  C. P; D, A
# ?/ z. Y3 \. r: J* M- [
Linux下可通过iptraf,nload,iftop,nethogs等方式查看流量,其中iptraf可以查看到哪些IP那些端口流量比较大,可判断流量来源的程序。若这里无法判断可通过nethogs是可以查看到具体的流量进程的。
" ]; U1 i/ p6 y
8 F" R8 A+ r3 V$ wCentos/redhat可配置阿里云的epel镜像源,然后yum install nethogs –y即可- G# v6 s. g8 D6 H1 x0 y+ y

* ^2 Q5 p5 N8 m5 q两个软件的使用截图如下:2 s+ \5 b& s5 Y' q0 Y" B

( K2 b2 B0 j8 j* H( uNethogs
+ e' B& a; n; r' P+ d. } ddaa.png
3 b! X2 p$ W0 _$ j8 E8 c' X# k4 fnethogs
; N5 P" v4 x. y& m9 o: @: z3 n2 M3 \+ `- M5 V2 Q
6 F' v" D+ p" s( e) \6 Y+ j
Iptraf:
  D6 V7 T0 {5 `# o3 x! A$ L& K/ i# D; E, h/ i2 ^! c7 v; [

/ V2 [0 K. I" R9 b6 h dad.png * t/ s1 j" q5 r0 H, I( p7 Q4 j5 T
iptraf
' q- v4 n8 w9 p
* X" V4 P# \7 @/ }4 c
' r: E7 V3 M; k; ?% B软件简单明了,使用方法不再赘述。6 h& k. f: s- ?1 m! i7 z9 ?/ V
+ H  ]" r" x- L
定位到流量产生的进程后,若是phpddos等可通过禁用函数临时解决,然后让检查程序。# U0 W, S4 I- ^: e! L

' z- `2 N# M. `# d若是病毒程序发包,删除处理并对系统做检查。1 ]* X+ _; M9 W! [" s

& k. _4 G3 _! h2 s% {二、windows平台
+ ~. q; F  O, X+ ~! f+ A/ B: l& Q# {9 k  F9 ]  V3 b# P0 Z9 t$ V
可通过NC或者beaver抓包判断是正常业务流量还是对外攻击。
3 G. V6 L& B+ d& O: o4 \6 ?' {/ s. n' g
(1)正常流量跑满的分析处理
2 `/ X  x$ f- l2 M$ B: W) W
1 {- V6 l# c' E; f+ X9 Y处理方法同linux: Z3 P- h) i: u  e* Q" U
: W% `2 B  h, _" |/ \. N
(2)对外攻击导致流量跑满的分析处理
8 n6 U, R" T; k/ b
  @0 X( Y' V6 @( ]3 \/ y2003系统:0 U3 u8 `2 T2 P
8 ]+ u# s! \( ~3 o. z# o. J
可通过processex或者360流量监视器按照流量排序来查看异常的进程。/ z; q" U4 y3 |4 s4 `

% R3 @5 }8 B' F! ]3 q$ p fffffffff.png & [/ @  w5 M$ k2 }0 O5 _+ r) f

2 S( M. T) z( @7 _9 s" T& J; \# C使用processex的话需要选择网络的列,如下:& n& U2 `! x% c/ \. m7 Y" z

( E7 R6 \  _' m& ?7 t adddddddd.png + h. H9 ?9 ?7 W

6 d4 A( [5 [& K& B% f2008系统:6 j3 C5 A& g+ [' B0 j
' l$ k& \' g) }# z- |! X( |7 z9 \
使用资源监视器查看发包的进程,然后进行处理即可。截图如下:
2 A6 f' i! Q* V: |; T6 {) a2 Kfasasf  F5 e$ X4 V% O  c5 ~. }; v1 m

, F' z  ^# G/ n6 E0 r找到异常程序后,终止进程,然后全盘杀毒检查。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

宝塔面板如何添加和管理Mysql数据库?

主讲:xotexa372 服务器学院

重启Apache提示AH00112: Warning: Document

主讲:当流科技 服务器学院

商务合作

0551-66191059
569160956#qq.com
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群