Назад | Перейти на главную страницу

Мой сервер Ubuntu 10.04 убивает всю полосу пропускания WAN, когда он подключен к моей LAN. С чего начать поиск неисправностей?

Во-первых, я должен сказать, что мои знания Linux минимальны; достаточно для настройки некоторых серверов (Apache, Tomcat, Couch и т. д.). Я построил сервер MiniITX для размещения нескольких простых сайтов, выступал в качестве туннеля SSH, пока меня не было, и выступал в качестве торрент-сервера. Долгое время он не был должным образом защищен (iptables был пуст, все порты открыты, брандмауэр отсутствовал), хотя на моем маршрутизаторе не было настроено много переадресации портов, кроме HTTP, FTP и SSH.

Неделю или две назад моя домашняя пропускная способность упала с 27 Мбит / с до 2 Мбит / с, а скорость загрузки выросла с 7 Мбит / с до 0,06 Мбит / с. Когда я отключаю сервер от LAN, по пропускной способности выстреливает обратно.

Я установил ограничительный iptables, удалил большую часть переадресации портов и проверил журналы своего маршрутизатора, чтобы узнать, есть ли какие-либо открытые подключения с сервера (вредоносное ПО?), Но их не было.

Что бы вы сделали? Что вы бы проверили в первую очередь?

Я, конечно, могу переустановить все с нуля, но я бы хотел найти первопричину.

РЕДАКТИРОВАТЬ

Подключено к LAN:

sudo route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
default         192.168.0.1     0.0.0.0         UG    100    0        0 eth0

iptraf > Монитор IP-трафика> eth0

который показывает мне x103 (проблемный сервер) и x130 (Mac, с которого я использую SSHing) с Packets и Bytes просто взлетает с постоянной скоростью, никогда не останавливаясь. я угадывать что это бесконечный цикл обратной связи, при котором любое обновление iptraf должно быть отправлено по сети, что приводит к регистрации другого обновления и т. д. В любом случае, он показывает скорость потока TCP 26 kbits/s который просто не может учесть падение нескольких Мбит / с как при загрузке, так и при загрузке.

iptraf > Подробная статистика интерфейса> eth0

iptraf > Статистическая разбивка> По порту TCP / UDP> eth0

Я бы немедленно отключил его. Может быть, вы действуете как рассылка спама или что-то еще хуже. Тогда проверьте локально.

Также было бы лучше загружаться с live linux (например, knoppix, ubuntu live или вашего предпочтительного бренда), больше не загружать его с жесткого диска.

Нелегко диагностировать без дополнительных знаний, но, скорее всего, кто-то завладел этой машиной и использует ее для чего-то. Также может быть ботнетом или использоваться для DOS-атак.

Я бы предложил изолировать эту машину от всего остального. Возможно, заражены и другие машины.

Сделайте резервную копию ваших данных. Используйте программы безопасности, например антивирусные программы. Узнайте, как создать защищенную среду (машины, LAN, брандмауэр, маршрутизатор) и начать все заново. Будьте осторожны при использовании ваших данных с этих машин, они могут быть заражены.

В таких настройках существует потенциальный риск того, что вы будете нести ответственность за запрещенные или преступные действия, которые были совершены кем-то другим с использованием вашего компьютера и IP, а также вашему интернет-провайдеру не нравится то, что произошло (если это действительно произошло).

Не чувствуй себя виноватым, так как это случается даже со многими опытными администраторами, но постарайся действовать ответственно и тоже учись на этом :) Удачи!

TCPDUMP может показать вам трафик на проводе. Это может вызвать беспорядок, поэтому вы можете перенаправить его в файл и просмотреть его позже:
tcpdump -s 0 -Ai eth0

-s 0 устанавливает длину захвата пакета, 0 означает как можно больше, поэтому не стесняйтесь настраивать по мере необходимости.
-A печатает трафик в формате ASCII, чтобы вы могли его прочитать. i eth0 устанавливает интерфейс для просмотра. Вы должны убедиться, что это ваш WAN-интерфейс.

Если повезет, вы увидите, что вызывает проблемы с пропускной способностью.

tcpdump как предлагали другие, хотя, если вы подозреваете, что ящик может быть рутирован, я бы хотел захватить трафик с другой доверенной машины, которая работает как мост между рассматриваемым ящиком и коммутатором локальной сети (встроенным в маршрутизатор или иначе ) или если у вас старый хаб, вы тоже можете его использовать.

Вы упомянули, что это торрент-сервер: вы случайно не засыпаете кучу торрентов? Это быстро прервет подключение к Интернету, если будет задействовано слишком много одноранговых узлов и / или слишком большая пропускная способность.

Если вы готовы рискнуть снова запустить его вживую (см. Ответы mit), вы можете сразу понять, что происходит, запустив iptraf.

tcpdump даст вам более определенный ответ (легче понять в wirehark)

После выполнения тестов, приведенных в различных ответах, стало ясно, что мой Linux-сервер на самом деле ничего не передает. Это оставило меня с маршрутизатором - D-Link DIR-655 A3 - в качестве проблемы. Он есть в наличии (не настроен) и отлично работает годами. Я провожу некоторое время, играя на своем ПК с Windows Media Center, который также подключен к маршрутизатору. Я заметил, что падение пропускной способности снова произошло - с отключенным сервером - после того, как я запустил торрент-клиент. Я знаю, что не мой интернет-провайдер ограничивает полосу пропускания, когда замечает торренты, потому что, когда я подключаюсь напрямую к модему, проблема исчезает.

Думаю проблема в моем роутере QoS Engine или WISH (Беспроводная интеллектуальная обработка потоков) возможности сходят с ума. Обе эти службы формируют трафик, как трафик LAN, так и трафик WAN. Я отключил обе службы, и пока проблема, похоже, исчезла.

Я хочу поблагодарить всех, кто разместил предложение; эти советы помогли мне обнаружить, что проблема не в моем сервере.

Каков результат sudo route до и после подключения LAN?

РЕДАКТИРОВАТЬ: Eth0 - это ваша локальная сеть, где находится интерфейс для глобальной сети - можете ли вы опубликовать вывод ifconfig -a и route (снова) когда обе сети работают?

Не беспокойтесь о вирусах, бэкдорах или пересылке спама - пока я не вижу веских причин, по которым они у вас есть. Давайте просто диагностируем это как проблему с сетью.

В iptraf вы показываете только около 60 Кбит / сек - это не так много трафика. Вы говорили о снижении пропускной способности с 27 Мбит / с до 2 Мбит / с. Воспроизведите проблему (подключите открытый интерфейс и т. Д.), А затем запустите iptraf, ifconfig -a, и route.