Назад | Перейти на главную страницу

CentOS 5.0 с Ligthttpd без причины замечает высокий трафик

У меня CentOS 5 с установленным Lightppd. Также у меня есть MySQL. Недавно я обнаружил высокий трафик:

http://img686.imageshack.us/img686/8596/traff.jpg

Подскажите, пожалуйста, как определить причину этого трафика? Я не сделал ничего, что могло бы это объяснить.

A) Если у вас есть коммутатор Cisco, вы можете настроить его так, чтобы трафик зеркально отображался на конкретный порт, а затем подключить другой компьютер к этому порту, настроенному в неразборчивом режиме, для мониторинга IP-трафика с помощью чего-то вроде Wireshark.

Б) вы можете запустить Wireshark (или ваш любимый сниффер) на сервере для мониторинга трафика в реальном времени.

C) настроить другую машину с Linux для пересылки трафика и настроить сервер на использование этой машины в качестве шлюза. Посмотрите, сможете ли вы отслеживать трафик с помощью сниффера портов.

Я бы посоветовал сделать это стороннему компьютеру (например, вариант A или C), поскольку, если что-то делает это через вредоносное ПО, оно может замаскировать активность в системе с помощью троянских двоичных файлов. Машина внешнего монитора все равно будет видеть трафик.

Не похоже, что графики разбивают трафик по портам, так что сниффер поможет. В этой заметке, если вы думаете, что это веб-трафик, то предполагая, что ведение журнала lighttpd настроено:

/var/log/lighttpd.log

Вы можете проверить, какие URL-адреса использовались чаще всего или какие файлы загружались чаще всего. Чтобы упростить вам задачу, попробуйте использовать Webalizer для анализа журналов:

http://www.cyberciti.biz/tips/lighttpd-install-and-configure-webalizer-statistics-software.html