私の帯域幅を使用している人や人をどのように見つけますか?

17

正直に言うと、私はサーバー管理が苦手ですが、上司から助けを求められました。彼のサーバーの帯域幅は1日あたり2GBに制限されており、今日では会社を超えて24GBを使用しているという警告を受け取っています。

彼のやり方が不可能だったので、彼は私に問題を追跡できるかどうか尋ねました。どこから始めればいいのかわからない。

どんな情報も、どうすれば間違っているかを知るのに役立ちます。

マシンはUbuntu 12.04で実行されています。最も興味深いのは、ホスティング事業者から受け取った図によると、発信転送のみが使用されたことです。

編集

提案をありがとう、tcpdumpを実行して結果を調べてみます

linux  ubuntu 
カミル
ソース
コメントは、質問の本文ではなくコメントとして投稿してください。
EEAA
ここに私の質問があります。tcpdumpをバックグラウンドで実行して、1日言うとからデータを収集できますか?
カミル
はい、できます。画面セッションなどから実行する必要があります。ただし、すべてのキャプチャデータを保存するのに十分なディスクがあることを確認する必要があります。おそらくtcpdumpmanページを読んで、TCP / IPヘッダーのみをキャプチャし、残りのパケットデータを破棄するように構成する方法を確認する必要があります。
EEAA
クォンタ

回答:

18

すぐに監視するには、iftopを使用できます。これにより、現在アクティブな接続とそれらが使用している帯域幅が表示されます。トラフィックの多い接続を特定したら、ローカルポート番号netstatを見つけて、その接続が属するプロセスを見つけるために使用します。

sudo netstat -tpn | grep 12345

長期間の監視には、darkstatのようなものをお勧めします。これにより、ホストとポートごとの内訳が得られるため、トラフィックが何に関連しているかを把握できる場合があります。

mgorven
ソース
1
iotop?またはiftopを考えていましたか?
EEAA
@ErikAええ、はい..それは私が言ったことです!
mgorven
7

ntopをインストールすることをお勧めします。

http://www.ntop.org/

ホストゲートウェイ/ルーターの場所に置き、1日/週のトラフィックを監視します。Ntopは、IP /ポート/プロトコルごとの内訳を取得できるWeb UIを提供します。

思いやり
ソース
2

さて、パケットキャプチャは通常、このような状況で最初に開始する場所です。tcpdumpがインストールされていることを確認し($ sudo apt-get install tcpdump)、次を実行します。

$ sudo tcpdump -w packet.log

これにより、すべてのパケットのログがに書き込まれpacket.logます。数分間実行してから、そのファイルをダウンロードし、Wiresharkを使用して検査します。ミステリートラフィックがまだ発生している場合は、パケットキャプチャデータをざっと見るだけで明らかになります。

EEAA
ソース
Wiresharkを使用するには、統計メニュー-エンドポイントを使用します。次に、IPまたはTCPまたはその他のリストを選択し、各エンドポイントが受信/送信した量でソートできます。エンドポイントはIPアドレスまたはマシンになります。ただし、一部のエンドポイントはゲートウェイまたはスイッチである可能性があるため、帯域幅ユーザーを追跡するには、そのゲートウェイで別のtcpdumpおよびwiresharkを実行する必要があります。
gaoithe
2

見ていtcpdumpのを。すべてのネットワークトラフィックをダンプできます(名前が示すようにtcpだけでなく)。その後、Wiresharkなどのアプリケーションで読み取ることができます。Wiresharkでは、特定の種類のデータをフィルタリングしたり、ネットワークI / Oのグラフをプロットしたりすることも非常に簡単です。

別の便利なツールは、進行中のネットワーク接続のリストを表示するnetstatです。たぶんそこにあるべきではない接続があります。Tcpdumpの方がはるかに便利です(数分キャプチャしてから、既にソースが表示されているかどうかを確認してください)が、netstatを使用すると簡単に概要を確認できます。

ちなみにこれを読んで、私の最初の考えは、サーバーにマルウェアがあるか、増幅攻撃に使用されているということです。ただし、これを調べるには、最初にtcpdumpを実行する必要があります。

編集:tcpdumpはおそらくrootとして実行する必要があることに注意してくださいsudo tcpdump。おそらくを使用する必要があります。

別の編集:増幅攻撃が一般的にどのようなものであるかをリンクするための良いWebページを実際に見つけることができないため、ここに短いバージョンがあります。

DNSなどのプロトコルはUDPで実行されます。UDPトラフィックはコネクションレスであるため、他の誰かのIPアドレスを非常に簡単にスプーフィングできます。通常、DNSの回答はクエリよりも大きいため、これはDoS攻撃に使用できます。攻撃者は、DNSサーバーが特定の名前で持つすべてのレコードを要求するクエリを送信し、要求がXから発信されたことをDNSサーバーに伝えます。このXは、攻撃者がDoSを望んでいるターゲットです。DNSサーバーは親切に応答し、Xに(大きな、たとえば4kB)応答を送信します。

攻撃者はXが実際に受信するよりも少ないデータを送信するため、これは増幅です。これが可能なプロトコルはDNSだけではありません。

リュック
ソース
1
はい。tcpdump -i any -w /tmp/traffic.pcap。Wiresharkを使用するには、統計メニュー-エンドポイントを使用します。受信/送信量で並べ替えます。
gaoithe
2

これに最適なツールはおそらくiftopであり、sudo apt-get install iftopを使用して簡単にapt-get'ableを実行できます。犯人IP /ホスト名に従って出力を表示します:

             191Mb      381Mb                 572Mb       763Mb             954Mb
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local            => box-2.local                      91.0Mb  27.0Mb  15.1Mb
                      <=                                  1.59Mb   761kb   452kb
box4.local            => box.local                         560b   26.8kb  27.7kb
                      <=                                   880b   31.3kb  32.1kb
box4.local            => userify.com                         0b   11.4kb  8.01kb
                      <=                                  1.17kb  2.39kb  1.75kb
box4.local            => b.resolvers.Level3.net              0b     58b    168b
                      <=                                     0b     83b    288b
box4.local            => stackoverflow.com                   0b     42b     21b
                      <=                                     0b     42b     21b
box4.local            => 224.0.0.251                         0b      0b    179b
                      <=                                     0b      0b      0b
224.0.0.251           => box-2.local                         0b      0b      0b
                      <=                                     0b      0b     36b
224.0.0.251           => box.local                           0b      0b      0b
                      <=                                     0b      0b     35b


─────────────────────────────────────────────────────────────────────────────────
TX:           cum:   37.9MB   peak:   91.0Mb     rates:   91.0Mb  27.1Mb  15.2Mb
RX:                  1.19MB           1.89Mb              1.59Mb   795kb   486kb
TOTAL:               39.1MB           92.6Mb              92.6Mb  27.9Mb  15.6Mb

古い* nixのクラシックで強力なsarおよびnetstatユーティリティを忘れないでください!

もう1つの優れたツールはnloadです。これは帯域幅をリアルタイムで監視し、sudo apt-get install nloadを使用してUbuntuまたはDebianに簡単にインストールできます。

Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:


                               .         ...|
                               #         ####|
                           .. |#|  ...   #####.         ..          Curr: 2.07 MBit/s
                          ###.###  #### #######|.     . ##      |   Avg: 1.41 MBit/s
                         ########|#########################.   ###  Min: 1.12 kBit/s
             ........    ###################################  .###  Max: 4.49 MBit/s
           .##########. |###################################|#####  Ttl: 1.94 GByte
Outgoing:
            ##########  ###########    ###########################
            ##########  ###########    ###########################
            ##########. ###########   .###########################
            ########### ###########  #############################
            ########### ###########..#############################
           ############ ##########################################
           ############ ##########################################
           ############ ##########################################  Curr: 63.88 MBit/s
           ############ ##########################################  Avg: 32.04 MBit/s
           ############ ##########################################  Min: 0.00 Bit/s
           ############ ##########################################  Max: 93.23 MBit/s
         ############## ##########################################  Ttl: 2.49 GByte
ジェイミーソン・ベッカー
ソース
1

しばらく問題を調べた後(数日で60GBを超える帯域幅)、サーバーがDDOS攻撃のソースであることを発見しました。

まず、Oracle DBをインストールしようとしたため、oracleユーザーを作成しました。ハッカーはどういうわけかそのユーザーのパスを破ることができました(私はそれを難し​​くする必要があると思います:(

さらに、ハッカーは私のサーバーにavahiとcolordの2人の新しいユーザーを作成しました。それらについてどうすればよいですか?私はグーグルで検索し、同じ名前のソフトウェアは危険ではないようですが、それらのユーザー(およびオラクルも)を削除しました。

さらに、私はすべてのオラクルホームを削除しました。

サーバーが再び攻撃される可能性があるため、サーバーをさらに保護する必要があると思います。

カミル
ソース
4
サーバーを消去して再起動しますが、妥協後にサーバーを信頼することはありません。軌道からサイトを破壊する、それが確実な唯一の方法です。
Unix管理人
Yupp私はそれをするつもりです、まずいくつかのデータ(svnリポジトリ、
便利
データに整合性があることを確認してください。侵入者がソースコードとスクリプトを変更してバックドアを配置することはわかっています。侵入がに入った前に、私は確かに最近チェックアウトされたバージョンで、最新のSVNソースを比較したい。
Unixの用務員
0

帯域幅の割り当てを超えたときに1日で送信されるすべてのパケットをキャプチャすることは、おそらく最も賢明なアプローチではありません。分析のためにシステムのデータをどのように取得しますか。

ボックスにはどのようなアクセス権がありますか?どのポートが開いていますか?実行中のサービスのログを確認しましたか?awstatsのようなものは、FTP、HTTP、およびSMTPログを要約します(これらのサーバーがログにデータを記録するように構成されていると仮定します)。OTOH mrtgは、エンドポイント/ポートごとにネットワーク使用量を記録および追跡します。

シンビアン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.