У меня есть выделенный сервер с портом 100 Мбит / с. Несколько раз в неделю наступает время (обычно в вечерние часы), когда используется чрезвычайно высокая пропускная способность, намного больше, чем обычно.
Я использую CentOS 6 с cPanel и размещаю несколько десятков веб-сайтов. Я установил IPTraf чтобы иметь возможность отслеживать использование полосы пропускания в режиме реального времени. В эти вечерние часы вот интерфейс показывает около 55 - 90 Мбит / с, а eth0 интерфейс от 5 до 20 Мбит / с. В сумме это примерно от 70 до 100 Мбит / с. Это длится около 3-4 часов, и к серверу трудно добраться. После этого активность падает до 100–2 Мб / с и остается такой в течение большинства часов в течение дня.
у меня тоже есть CSF установлен, и я разрешил проходить только определенным портам, но в мониторе трафика IPTraf я вижу много IP-адресов со случайными портами, такими как 51970 или 45398, которые подключаются к серверу.
С какой проблемой я могу столкнуться здесь?
По большей части вы можете игнорировать lo трафик. Это ваш адаптер обратной связи, который используется различными подсистемами Linux. Этот адаптер существует исключительно в ядре Linux, и трафик через него не коснись своего eth0 интерфейс.
Ожидаются соединения, которые вы видите с высоких портов. Это порты клиент открывается для подключения к службам, запущенным на сервере.
Самый простой способ определить характер скачка трафика - это просмотреть журналы доступа к вашему веб-серверу.
Помимо журналов веб-сервера, для дальнейшей диагностики характера трафика вам необходимо выполнить захват пакетов. Установить tcpdump а затем сделайте что-то вроде:
$ sudo tcpdump -w packet.cap
Это запустит захват пакетов, записывая пакеты захвата в packet.cap. Завершите этот процесс, если считаете, что собрали достаточно трафика, загрузите packet.cap, установите Wireshark в своей локальной системе и используйте его, чтобы открыть файл захвата пакетов.