一次Linode VPS服务器流量突然激增的PD过程

前几天突然收到一封Linode发来的邮件,说是网络流量已经超过了80%。虽然距离月底已经没有几天,但这依然是个不能忽略的问题。因为我的VPS上只是在运行着我跟朋友们的几个blog,以往每个月的流量根本不会超过20%。为什么现在就那么高了呢?开始当然是怀疑web服务,是不是谁把什么图片,文件之类的传到什么地方引起疯狂下载了?于是暂时关了NGINX。但是使用iftop命令发现这个时候依然网络流量还是很高。有两个大户,正以每秒1M多的速度在偷流量。但是上面却没有IP显示。用netstat看一下,只能看见到自己的ssh连接。。。于是乎,至此,只具有可怜的网络知识的我已经黔驴技穷了。

只好求助网络安全大拿了。求助之下,@白金-PT同学马上就给了解决方案。首先用tcpdump抓下数据包,然后通过对这些数据包的分析,找到了偷我流量的IP地址跟端口。最后发现原来是因为机器上开着的name service的53端口在不断地进行网络通讯。这个服务应该是之前尝试在这个机器上搭建SMTP服务的时候开的,之后就一直没有管了。关掉之后,运行一个晚上,一切正常了。从图里面可以看出来,网络流量一下正常了。

a

 

通过这次事件,发现一些命令还是不很靠谱啊,分析数据包很强大!这个得学学。

One Comment

  • 白金-PT says:

    流量图也是一个很好的说明,从蓝线和绿线的数值可以发现,每时每刻 in 和 out 都基本一样,基本排除了攻击的可能,更像是利用 server 本身的某些机制做了 forwarding。抓包、找到 forwarding 的根源,干掉即可。^_^

Leave a Reply

XHTML: You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>