<b>带宽跑满的情况分析:</b>
由于大部分托管商流入带宽不限,所以本文主要阐述服务器流出带宽跑满的情况。
流出带宽跑满主要有两种情况:
1、 正常业务流量跑满,即外部下载服务器上的资源。
2、 非正常服务流量,即可能对外攻击。
下面根据linux和windows平台阐述一下上述三种情况的检查方法:
<b>一、</b><b>linux</b><b>平台</b>
首先可通过tcpdump抓包看查看流量详情,如果都是外部访问服务端口的流量,那可暂时排除服务器被肉鸡对外攻击。
如果是服务器有大量对外固定的ip或者端口产生大量流量,那么可能服务器被入侵对外发包了。
<b>(1</b><b>)正常流量跑满的分析处理</b>
这时候可以通过iftop或者iptraf看一下服务器的流量走向,如果部分ip持续流量很高,很有可能这部分恶意ip在大量下载服务器的资源,可对异常ip进行限制访问。
若很多ip流量都很高,可能服务器存在较大的文件,比如在线播放的视频,热门资源文件等,可通过查看访问日志看这些ip访问的是什么文件,然后反馈进行处理,比如:
1、图片进行压缩
2、视频不设置自动播放,降低码率
3、 所有静态文件配置gzip压缩,可适当提高压缩级别(会增加服务器cpu消耗)
4、 配置单链接限速(会降低网站访问体验)
5、 <b>使用cdn</b><b>(建议)</b>
6、 <b>升级带宽(建议)</b>
<b> </b><b>(2</b><b>)被肉鸡对外发包导致流量跑满的分析处理</b>
对外发包,首要处理的事情就是判断对外发包的程序是什么,一般有可能被放置客户端恶意程序比如iptablex等,也有可能被放置了webddos程序比如利用php的fsockopen函数进行phpddos。
判断发包程序的方法如下:
linux下可通过iptraf,nload,iftop,nethogs等方式查看流量,其中iptraf可以查看到哪些ip那些端口流量比较大,可判断流量来源的程序。若这里无法判断可通过nethogs是可以查看到具体的流量进程的。
centos/redhat可配置阿里云的epel镜像源,然后yum install nethogs –y即可
两个软件的使用截图如下:
<b>nethogs</b>
<b>iptraf:</b>
软件简单明了,使用方法不再赘述。
定位到流量产生的进程后,若是phpddos等可通过禁用函数临时解决,然后让检查程序。
若是病毒程序发包,删除处理并对系统做检查。
<b>二、</b><b>windows</b><b>平台</b>
可通过nc或者beaver抓包判断是正常业务流量还是对外攻击。
处理方法同linux
(2)对外攻击导致流量跑满的分析处理
<b>2003</b><b>系统:</b>
可通过processex或者360流量监视器按照流量排序来查看异常的进程。
使用processex的话需要选择网络的列,如下:
<b>2008</b><b>系统:</b>
使用资源监视器查看发包的进程,然后进行处理即可。截图如下:
找到异常程序后,终止进程,然后全盘杀毒检查。