服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 极端数量的出港港口80
Intereting Posts
Cent OS genkey坏证书请求错误-8016 Mysql-如何find索引的内存使用情况? 安装顺序? SQL Server 2008 + SP2 + SQL Server 2008的新实例 从Visual Studio 2010中缺lessSilverlight 4 外部没有Tomcat SSL 如何将SharePoint 2010网站迁移到新的服务器和新的SQL实例 在OpenBSD上为外部networking上的DSL调制解调器添加路由 Windows服务器2012 rdp丢弃连接 快照备份如何工作? 停止Windows XP上的Samba超时 如何在Mac Snow Leopard上使用JSON和OAuth安装PHP? 试图安装SVN客户端科学Linux IIS7 Windows Server 2008添加angular色失速 如何在SQL 2008中添加一个自引用链接服务器 我怎么能强制puppet在freebsd中使用port collection?

极端数量的出港港口80

我的服务器出现了一个严重的问题,那就是无用的消耗过多的出站带宽。 如果有问题,服务器操作系统是CentOS 6.4 x64 2.6.32-431内核。

这是一个快速的tcpdump日志文件: 

20:10:17.448636 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 463681, win 65520, options [nop,nop,sack 1 {460801:462241}], length 0 20:10:17.448698 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 468001:469441, ack 0, win 123, length 1440 20:10:17.454074 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 469441:470881, ack 0, win 123, length 1440 20:10:17.637167 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 465121, win 65520, options [nop,nop,sack 1 {466561:468001}], length 0 20:10:17.637221 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 470881:472321, ack 0, win 123, length 1440 20:10:17.637230 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 472321:475201, ack 0, win 123, length 2880 20:10:17.638062 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 468001, win 65520, length 0 20:10:17.638078 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 475201:478081, ack 0, win 123, length 2880 20:10:17.642977 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 470881, win 65520, length 0 20:10:17.642988 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [P.], seq 478081:480961, ack 0, win 123, length 2880

有数以千计的条目,每天吃掉100GB或更多。 我已经尝试了许多不同的防火墙规则。 我的iptables规则是: 

 -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -p tcp -m tcp --dport 80 -j fail2ban-HTTP -A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -s 198.101.197.171/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state --state NEW -m limit --limit 2/sec --limit-burst 2 -j ACCEPT -A INPUT -p tcp -m state --state NEW -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT -A fail2ban-HTTP -j RETURN -A fail2ban-SSH -j RETURN

我是一个业余系统pipe理员,所以我不知道所有的阻止这种攻击的来龙去脉。

iftop显示随数据接收者而改变的任意IP,nethogs显示/ usr / bin / httpd是带宽的过程。 iotop虽然告诉我没有实际的文件被读取,但没有显示任何活动。

思考?

好的,你有:

  • 从您的HTTP端口发送大量的stream量
  • nethogs显示你的httpd守护进程正在发送它
  • 目的地IP是互联网上的配套电脑
  • iotop没有显示任何东西(这意味着它被caching在内存中)

我的诊断:您正在运行一个Web服务器。

检查您的Web服务器访问日志,看看人们正在访问。 这是正常的stream量? 考虑使用CDN来减less您的传出带宽。

哦,没有在日志中?

  • 你确定httpd正在logging你认为正在logging的地方吗?
  • 尝试查杀httpd,捕获stream量,然后重新启动httpd,以便可以捕获请求的开始
  • 如果他们正在下载大文件,日志可能? 在下载完成之前不会出现。
  • 使用Apache? 尝试启用server-status模块,以便您可以询问httpd在做什么。