В простой конфигурации веб-сервера (CentOS 7) с nginx / apache (установка обратного прокси) у меня много входящего трафика на одной сетевой карте (eth0).
1. Есть ли способ узнать, что вызывает это или «откуда оно приходит»?
Не работают FTP, Почта или БД. БД (MongoDB и MySQL) находятся на разных серверах, а соединение находится на другом сетевом адаптере (eth1).
eth0 является общедоступным, а eth1 подключен к частному коммутатору без внешнего доступа. Установлен брандмауэр, и для eth0 открыты только порты 80, 443 и 22. Fail2ban блокирует несколько сотен IP-адресов в день (пытается войти через ssh), но это похоже на другие мои серверы.
2. Если кто-то отправляет произвольные данные на любой произвольный порт, т.е. е. 555, который брандмауэр должен блокировать, vnstat по-прежнему регистрирует все данные или только размер заголовков, а остальные отклоняются?
Не удалось найти на сервере подозрительных файлов. На сайте нет механизма загрузки.
Я записываю трафик с помощью vnstat. Последние 24 часа выглядели так:
h rx (MiB) tx (MiB) h rx (MiB) tx (MiB) h rx (MiB) tx (MiB)
13 4045.50 6184.14 21 2683.89 4172.90 05 1652.97 1226.57
14 3210.47 4768.60 22 2923.88 3303.21 06 1473.85 1686.85
15 3310.31 5880.16 23 1850.60 1909.20 07 1506.75 3185.17
16 3697.05 5347.17 00 1924.60 1544.29 08 2412.61 3972.74
17 2656.44 4270.50 01 3103.59 2019.04 09 2602.51 5185.76
18 1889.34 4209.50 02 1890.90 1014.04 10 3353.67 6353.20
19 1679.18 5564.48 03 2502.21 1197.43 11 1792.24 6760.07
20 2661.70 14444.84 04 2187.66 1089.72 12 571.53 1852.97
Ночью, в данном случае с полуночи до 5 утра (UTC), входящий трафик даже превышает исходящий, что для меня не имеет большого смысла - это все еще просто веб-сайт.
tcpdump показывает много действий на порте 443 и гораздо меньше на порте 80, но длина почти всегда равна 0. Иногда есть несколько байтов, но это не компенсирует несколько гигов в час. На 22-м порту почти ничего не происходит.
tcpdump -l -n -i eth0 dst port 443 and inbound
12:40:50.682931 IP 1.2.3.4.13416 > 1.2.3.4.http:
Flags [.], ack 173761, win 428, options [nop,nop,TS val 223856478 ecr 281640876], length 0
Я хотел бы выяснить источник или причину этого трафика и каким-то образом заблокировать его.