<b>帶寬跑滿的情況分析:</b>
由于大部分托管商流入帶寬不限,是以本文主要闡述伺服器流出帶寬跑滿的情況。
流出帶寬跑滿主要有兩種情況:
1、 正常業務流量跑滿,即外部下載下傳伺服器上的資源。
2、 非正常服務流量,即可能對外攻擊。
下面根據linux和windows平台闡述一下上述三種情況的檢查方法:
<b>一、</b><b>linux</b><b>平台</b>
首先可通過tcpdump抓包看檢視流量詳情,如果都是外部通路服務端口的流量,那可暫時排除伺服器被殭屍電腦對外攻擊。
如果是伺服器有大量對外固定的ip或者端口産生大量流量,那麼可能伺服器被入侵對外發包了。
<b>(1</b><b>)正常流量跑滿的分析處理</b>
這時候可以通過iftop或者iptraf看一下伺服器的流量走向,如果部分ip持續流量很高,很有可能這部分惡意ip在大量下載下傳伺服器的資源,可對異常ip進行限制通路。
若很多ip流量都很高,可能伺服器存在較大的檔案,比如線上播放的視訊,熱門資源檔案等,可通過檢視通路日志看這些ip通路的是什麼檔案,然後回報進行處理,比如:
1、圖檔進行壓縮
2、視訊不設定自動播放,降低碼率
3、 所有靜态檔案配置gzip壓縮,可适當提高壓縮級别(會增加伺服器cpu消耗)
4、 配置單連結限速(會降低網站通路體驗)
5、 <b>使用cdn</b><b>(建議)</b>
6、 <b>更新帶寬(建議)</b>
<b> </b><b>(2</b><b>)被殭屍電腦對外發包導緻流量跑滿的分析處理</b>
對外發包,首要處理的事情就是判斷對外發包的程式是什麼,一般有可能被放置用戶端惡意程式比如iptablex等,也有可能被放置了webddos程式比如利用php的fsockopen函數進行phpddos。
判斷發包程式的方法如下:
linux下可通過iptraf,nload,iftop,nethogs等方式檢視流量,其中iptraf可以檢視到哪些ip那些端口流量比較大,可判斷流量來源的程式。若這裡無法判斷可通過nethogs是可以檢視到具體的流量程序的。
centos/redhat可配置阿裡雲的epel鏡像源,然後yum install nethogs –y即可
兩個軟體的使用截圖如下:
<b>nethogs</b>
<b>iptraf:</b>
軟體簡單明了,使用方法不再贅述。
定位到流量産生的程序後,若是phpddos等可通過禁用函數臨時解決,然後讓檢查程式。
若是病毒程式發包,删除處理并對系統做檢查。
<b>二、</b><b>windows</b><b>平台</b>
可通過nc或者beaver抓包判斷是正常業務流量還是對外攻擊。
處理方法同linux
(2)對外攻擊導緻流量跑滿的分析處理
<b>2003</b><b>系統:</b>
可通過processex或者360流量螢幕按照流量排序來檢視異常的程序。
使用processex的話需要選擇網絡的列,如下:
<b>2008</b><b>系統:</b>
使用資源螢幕檢視發包的程序,然後進行處理即可。截圖如下:
找到異常程式後,終止程序,然後全盤殺毒檢查。