У меня CentOS 5 с установленным Lightppd. Также у меня есть MySQL. Недавно я обнаружил высокий трафик:
http://img686.imageshack.us/img686/8596/traff.jpg
Подскажите, пожалуйста, как определить причину этого трафика? Я не сделал ничего, что могло бы это объяснить.
A) Если у вас есть коммутатор Cisco, вы можете настроить его так, чтобы трафик зеркально отображался на конкретный порт, а затем подключить другой компьютер к этому порту, настроенному в неразборчивом режиме, для мониторинга IP-трафика с помощью чего-то вроде Wireshark.
Б) вы можете запустить Wireshark (или ваш любимый сниффер) на сервере для мониторинга трафика в реальном времени.
C) настроить другую машину с Linux для пересылки трафика и настроить сервер на использование этой машины в качестве шлюза. Посмотрите, сможете ли вы отслеживать трафик с помощью сниффера портов.
Я бы посоветовал сделать это стороннему компьютеру (например, вариант A или C), поскольку, если что-то делает это через вредоносное ПО, оно может замаскировать активность в системе с помощью троянских двоичных файлов. Машина внешнего монитора все равно будет видеть трафик.
Не похоже, что графики разбивают трафик по портам, так что сниффер поможет. В этой заметке, если вы думаете, что это веб-трафик, то предполагая, что ведение журнала lighttpd настроено:
/var/log/lighttpd.log
Вы можете проверить, какие URL-адреса использовались чаще всего или какие файлы загружались чаще всего. Чтобы упростить вам задачу, попробуйте использовать Webalizer для анализа журналов:
http://www.cyberciti.biz/tips/lighttpd-install-and-configure-webalizer-statistics-software.html