Во-первых, я должен сказать, что мои знания Linux минимальны; достаточно для настройки некоторых серверов (Apache, Tomcat, Couch и т. д.). Я построил сервер MiniITX для размещения нескольких простых сайтов, выступал в качестве туннеля SSH, пока меня не было, и выступал в качестве торрент-сервера. Долгое время он не был должным образом защищен (iptables был пуст, все порты открыты, брандмауэр отсутствовал), хотя на моем маршрутизаторе не было настроено много переадресации портов, кроме HTTP, FTP и SSH.
Неделю или две назад моя домашняя пропускная способность упала с 27 Мбит / с до 2 Мбит / с, а скорость загрузки выросла с 7 Мбит / с до 0,06 Мбит / с. Когда я отключаю сервер от LAN, по пропускной способности выстреливает обратно.
Я установил ограничительный iptables, удалил большую часть переадресации портов и проверил журналы своего маршрутизатора, чтобы узнать, есть ли какие-либо открытые подключения с сервера (вредоносное ПО?), Но их не было.
Что бы вы сделали? Что вы бы проверили в первую очередь?
Я, конечно, могу переустановить все с нуля, но я бы хотел найти первопричину.
РЕДАКТИРОВАТЬ
Подключено к LAN:
sudo route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
iptraf
> Монитор IP-трафика> eth0
который показывает мне x103 (проблемный сервер) и x130 (Mac, с которого я использую SSHing) с Packets
и Bytes
просто взлетает с постоянной скоростью, никогда не останавливаясь. я угадывать что это бесконечный цикл обратной связи, при котором любое обновление iptraf должно быть отправлено по сети, что приводит к регистрации другого обновления и т. д. В любом случае, он показывает скорость потока TCP 26 kbits/s
который просто не может учесть падение нескольких Мбит / с как при загрузке, так и при загрузке.
iptraf
> Подробная статистика интерфейса> eth0
iptraf
> Статистическая разбивка> По порту TCP / UDP> eth0
Я бы немедленно отключил его. Может быть, вы действуете как рассылка спама или что-то еще хуже. Тогда проверьте локально.
Также было бы лучше загружаться с live linux (например, knoppix, ubuntu live или вашего предпочтительного бренда), больше не загружать его с жесткого диска.
Нелегко диагностировать без дополнительных знаний, но, скорее всего, кто-то завладел этой машиной и использует ее для чего-то. Также может быть ботнетом или использоваться для DOS-атак.
Я бы предложил изолировать эту машину от всего остального. Возможно, заражены и другие машины.
Сделайте резервную копию ваших данных. Используйте программы безопасности, например антивирусные программы. Узнайте, как создать защищенную среду (машины, LAN, брандмауэр, маршрутизатор) и начать все заново. Будьте осторожны при использовании ваших данных с этих машин, они могут быть заражены.
В таких настройках существует потенциальный риск того, что вы будете нести ответственность за запрещенные или преступные действия, которые были совершены кем-то другим с использованием вашего компьютера и IP, а также вашему интернет-провайдеру не нравится то, что произошло (если это действительно произошло).
Не чувствуй себя виноватым, так как это случается даже со многими опытными администраторами, но постарайся действовать ответственно и тоже учись на этом :) Удачи!
TCPDUMP может показать вам трафик на проводе. Это может вызвать беспорядок, поэтому вы можете перенаправить его в файл и просмотреть его позже:
tcpdump -s 0 -Ai eth0
-s 0
устанавливает длину захвата пакета, 0 означает как можно больше, поэтому не стесняйтесь настраивать по мере необходимости.
-A
печатает трафик в формате ASCII, чтобы вы могли его прочитать. i eth0
устанавливает интерфейс для просмотра. Вы должны убедиться, что это ваш WAN-интерфейс.
Если повезет, вы увидите, что вызывает проблемы с пропускной способностью.
tcpdump
как предлагали другие, хотя, если вы подозреваете, что ящик может быть рутирован, я бы хотел захватить трафик с другой доверенной машины, которая работает как мост между рассматриваемым ящиком и коммутатором локальной сети (встроенным в маршрутизатор или иначе ) или если у вас старый хаб, вы тоже можете его использовать.
Вы упомянули, что это торрент-сервер: вы случайно не засыпаете кучу торрентов? Это быстро прервет подключение к Интернету, если будет задействовано слишком много одноранговых узлов и / или слишком большая пропускная способность.
Если вы готовы рискнуть снова запустить его вживую (см. Ответы mit), вы можете сразу понять, что происходит, запустив iptraf
.
tcpdump
даст вам более определенный ответ (легче понять в wirehark)
После выполнения тестов, приведенных в различных ответах, стало ясно, что мой Linux-сервер на самом деле ничего не передает. Это оставило меня с маршрутизатором - D-Link DIR-655 A3 - в качестве проблемы. Он есть в наличии (не настроен) и отлично работает годами. Я провожу некоторое время, играя на своем ПК с Windows Media Center, который также подключен к маршрутизатору. Я заметил, что падение пропускной способности снова произошло - с отключенным сервером - после того, как я запустил торрент-клиент. Я знаю, что не мой интернет-провайдер ограничивает полосу пропускания, когда замечает торренты, потому что, когда я подключаюсь напрямую к модему, проблема исчезает.
Думаю проблема в моем роутере QoS Engine или WISH (Беспроводная интеллектуальная обработка потоков) возможности сходят с ума. Обе эти службы формируют трафик, как трафик LAN, так и трафик WAN. Я отключил обе службы, и пока проблема, похоже, исчезла.
Я хочу поблагодарить всех, кто разместил предложение; эти советы помогли мне обнаружить, что проблема не в моем сервере.
Каков результат sudo route
до и после подключения LAN?
РЕДАКТИРОВАТЬ: Eth0 - это ваша локальная сеть, где находится интерфейс для глобальной сети - можете ли вы опубликовать вывод ifconfig -a
и route
(снова) когда обе сети работают?
Не беспокойтесь о вирусах, бэкдорах или пересылке спама - пока я не вижу веских причин, по которым они у вас есть. Давайте просто диагностируем это как проблему с сетью.
В iptraf
вы показываете только около 60 Кбит / сек - это не так много трафика. Вы говорили о снижении пропускной способности с 27 Мбит / с до 2 Мбит / с. Воспроизведите проблему (подключите открытый интерфейс и т. Д.), А затем запустите iptraf
, ifconfig -a
, и route
.