कैसे पता लगाएं कि मेरे बैंडविड्थ का क्या या कौन उपयोग कर रहा है?

17

ईमानदार होने के लिए, मैं सर्वर प्रशासन में गरीब हूं, लेकिन मेरे बॉस ने मुझसे मदद मांगी। उनके सर्वर में 2GB / दिन की सीमित बैंडविड्थ है और आज उन्हें कंपनी से चेतावनी मिली है कि वे इसे पार कर गए और उपयोग किया ... 24GB।

जैसा कि यह असंभव है क्योंकि वह रास्ता था, उसने मुझसे पूछा कि क्या मैं समस्या को ट्रैक कर सकता हूं। मुझे नहीं पता कि कहां से शुरू करना है या क्या करना है।

कोई भी जानकारी उपयोगी होगी कि मैं कैसे गलत पता लगा सकता हूं।

मशीन Ubuntu 12.04 पर चल रही है। सबसे उत्सुक बात यह है कि, होस्टर से प्राप्त आरेखों के अनुसार, केवल आउटगोइंग ट्रांसफर का उपयोग किया गया था।

संपादित करें

सुझावों के लिए धन्यवाद, मैं tcpdump चलाऊंगा और परिणाम की जांच करने का प्रयास करूंगा

linux  ubuntu 
कामिल
स्रोत
कृपया अपने प्रश्नों को टिप्पणी के रूप में पोस्ट करें, आपके प्रश्न के शरीर में नहीं।
ईईएए
यहाँ मेरा सवाल है, क्या मैं बैकग्राउंड में tcpdump चला सकता हूँ, इसलिए यह एक दिन कहने से डेटा एकत्र करेगा?
kamil
आप कर सकते हैं, हाँ। आपको इसे स्क्रीन सत्र के भीतर या कुछ इस तरह से चलाने की आवश्यकता होगी । खबरदार, हालांकि ... आपको यह सुनिश्चित करने की आवश्यकता है कि आपके पास सभी कैप्चर किए गए डेटा को संग्रहीत करने के लिए पर्याप्त डिस्क है। आपको शायद tcpdumpमैन पेज पढ़ना चाहिए और देखना चाहिए कि इसे कैसे कॉन्फ़िगर करना है केवल टीसीपी / आईपी हेडर को कैप्चर करना है, बाकी पैकेट डेटा को छोड़ देना है।
EEAA
क्वांटा

जवाबों:

18

तत्काल निगरानी के लिए आप iftop का उपयोग कर सकते हैं । यह आपको वर्तमान में सक्रिय कनेक्शन और उनके द्वारा उपयोग किए जा रहे बैंडविड्थ को दिखाएगा। एक बार जब आप एक उच्च ट्रैफ़िक कनेक्शन की पहचान कर लेते हैं, तो स्थानीय पोर्ट नंबर netstatढूंढें और यह जानने के लिए उपयोग करें कि कनेक्शन किस प्रक्रिया से संबंधित है।

sudo netstat -tpn | grep 12345

लंबी अवधि की निगरानी के लिए मैं अंधेरगर्दी जैसा कुछ सुझाऊंगा । यह आपको प्रति होस्ट और पोर्ट को ब्रेकडाउन दे सकता है जो आपको यह पता लगाने की अनुमति दे सकता है कि ट्रैफ़िक किससे संबंधित है।

mgorven
स्रोत
1
iotop? या आप iftop के बारे में सोच रहे थे ?
ईईएए
@ एरिक उह, हाँ .. यही मैंने कहा है!
मॉर्गन
7

मैं एनटॉप स्थापित करने की सलाह दूंगा।

http://www.ntop.org/

एक मेजबान गेटवे / राउटर स्थान पर रखें और एक दिन / सप्ताह के लिए ट्रैफ़िक देखें। Ntop एक वेब यूआई प्रदान करता है जहां आप आईपी / पोर्ट / प्रोटोकॉल द्वारा ब्रेकडाउन प्राप्त कर सकते हैं।

dmourati
स्रोत
2

खैर, पैकेट कैप्चर आमतौर पर इन जैसी स्थितियों में शुरू करने के लिए पहली जगह है। सुनिश्चित करें कि tcpdump स्थापित है ( $ sudo apt-get install tcpdump), और उसके बाद निम्न चलाएँ:

$ sudo tcpdump -w packet.log

यह सभी पैकेट का लॉग लिखेगा packet.log। कुछ मिनट के लिए है कि रन करते हैं, तो उस फ़ाइल डाउनलोड करने और का उपयोग कर निरीक्षण Wireshark । यदि रहस्य ट्रैफ़िक अभी भी हो रहा है, तो पैकेट कैप्चर डेटा के माध्यम से सरसरी नज़र से यह काफी स्पष्ट होना चाहिए।

EEAA
स्रोत
वायरशार्क का उपयोग करके सांख्यिकी मेनू - एंडपॉइंट्स का उपयोग करें। फिर आप आईपी या टीसीपी या अन्य सूचियों का चयन कर सकते हैं और प्रत्येक समापन बिंदु द्वारा प्राप्त / प्रेषित राशि से सॉर्ट कर सकते हैं। जहां समापन बिंदु आईपी पता या मशीन होगा। लेकिन कुछ समापन बिंदु गेटवे या स्विच हो सकते हैं ताकि बैंडविड्थ उपयोगकर्ता को ट्रैक करने के लिए उस गेटवे पर एक और tcpdump और वायरशार्क करना पड़े।
गॉथे
2

पर एक नज़र डालें tcpdump । यह सभी नेटवर्क ट्रैफ़िक को डंप कर सकता है (न केवल टीसीपी जैसा कि नाम से पता चलेगा), जिसे आप बाद में विंडसर जैसे एप्लिकेशन के साथ पढ़ सकते हैं। Wireshark में कुछ प्रकार के डेटा को फ़िल्टर करना और यहां तक ​​कि नेटवर्क I / O के ग्राफ़ को प्लॉट करना बहुत आसान है।

एक अन्य उपयोगी उपकरण नेटस्टैट हो सकता है जो चल रहे नेटवर्क कनेक्शनों की सूची प्रदर्शित करता है। शायद वहाँ कनेक्शन है कि वहाँ नहीं होना चाहिए। Tcpdump बहुत अधिक उपयोगी है (कुछ मिनट कैप्चर करें, फिर जांचें कि क्या आप पहले से ही स्रोत देख सकते हैं), लेकिन netstat आपको एक त्वरित अवलोकन दे सकता है।

इस तरह से पढ़ने पर, मेरा पहला विचार यह है कि आपके सर्वर पर मैलवेयर है या इसका उपयोग प्रवर्धन हमलों के लिए किया जा रहा है। लेकिन इसकी जांच करने के लिए आपको पहले tcpdump चलाना होगा।

संपादित करें: ध्यान दें कि tcpdump को संभवतः रूट के रूप में चलाने की आवश्यकता है, शायद आपको उपयोग करने की आवश्यकता है sudo tcpdump

एक अन्य संपादन: चूंकि मैं वास्तव में एक अच्छा वेबपेज नहीं पा सकता हूं, जिससे यह पता चल सके कि प्रवर्धन के हमले सामान्य रूप से होते हैं, यहाँ एक छोटा संस्करण है:

DNS जैसे प्रोटोकॉल UDP पर चलते हैं। यूडीपी ट्रैफ़िक कनेक्शन रहित है, और इस प्रकार आप किसी और के आईपी पते को बहुत आसानी से खराब कर सकते हैं। क्योंकि DNS उत्तर आमतौर पर क्वेरी से बड़ा होता है, इसका उपयोग DoS हमले के लिए किया जा सकता है। हमलावर एक क्वेरी भेजता है जो सभी रिकॉर्ड DNS सर्वर पर दिए गए नाम को रिकॉर्ड करता है, और DNS सर्वर को बताता है कि अनुरोध एक्स से उत्पन्न हुआ है। यह एक्स वह लक्ष्य है जो हमलावर DoS करना चाहता है। डीएनएस सर्वर फिर जवाब देता है, एक्स को बड़ा (4kB कहकर) उत्तर भेज रहा है।

यह प्रवर्धन है क्योंकि हमलावर X से कम डेटा भेजता है जो वास्तव में प्राप्त करता है। DNS एकमात्र प्रोटोकॉल नहीं है जिसके साथ यह संभव है।

ल्यूक
स्रोत
1
हाँ। tcpdump -i any -w /tmp/traffic.pcap। वायरशार्क का उपयोग करके सांख्यिकी मेनू - एंडपॉइंट्स का उपयोग करें। प्राप्त / प्रेषित राशि के आधार पर छाँटें।
गौइथे
2

इसके लिए सबसे अच्छा उपकरण शायद iftop है , और आसानी से apt-get'able sudo apt-get install iftop के माध्यम से। यह अपराधी के आईपी / होस्टनाम के अनुसार आउटपुट प्रदर्शित करेगा:

             191Mb      381Mb                 572Mb       763Mb             954Mb
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local            => box-2.local                      91.0Mb  27.0Mb  15.1Mb
                      <=                                  1.59Mb   761kb   452kb
box4.local            => box.local                         560b   26.8kb  27.7kb
                      <=                                   880b   31.3kb  32.1kb
box4.local            => userify.com                         0b   11.4kb  8.01kb
                      <=                                  1.17kb  2.39kb  1.75kb
box4.local            => b.resolvers.Level3.net              0b     58b    168b
                      <=                                     0b     83b    288b
box4.local            => stackoverflow.com                   0b     42b     21b
                      <=                                     0b     42b     21b
box4.local            => 224.0.0.251                         0b      0b    179b
                      <=                                     0b      0b      0b
224.0.0.251           => box-2.local                         0b      0b      0b
                      <=                                     0b      0b     36b
224.0.0.251           => box.local                           0b      0b      0b
                      <=                                     0b      0b     35b


─────────────────────────────────────────────────────────────────────────────────
TX:           cum:   37.9MB   peak:   91.0Mb     rates:   91.0Mb  27.1Mb  15.2Mb
RX:                  1.19MB           1.89Mb              1.59Mb   795kb   486kb
TOTAL:               39.1MB           92.6Mb              92.6Mb  27.9Mb  15.6Mb

पुराने * निक्स पर क्लासिक और शक्तिशाली सर और नेटस्टैट उपयोगिताओं के बारे में मत भूलना!

एक और महान उपकरण nload है , वास्तविक समय में बैंडविड्थ की निगरानी के लिए एक महान उपकरण है और आसानी से उबंटू या डेबियन में sudo apt-get install nload के साथ स्थापित किया गया है।

Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:


                               .         ...|
                               #         ####|
                           .. |#|  ...   #####.         ..          Curr: 2.07 MBit/s
                          ###.###  #### #######|.     . ##      |   Avg: 1.41 MBit/s
                         ########|#########################.   ###  Min: 1.12 kBit/s
             ........    ###################################  .###  Max: 4.49 MBit/s
           .##########. |###################################|#####  Ttl: 1.94 GByte
Outgoing:
            ##########  ###########    ###########################
            ##########  ###########    ###########################
            ##########. ###########   .###########################
            ########### ###########  #############################
            ########### ###########..#############################
           ############ ##########################################
           ############ ##########################################
           ############ ##########################################  Curr: 63.88 MBit/s
           ############ ##########################################  Avg: 32.04 MBit/s
           ############ ##########################################  Min: 0.00 Bit/s
           ############ ##########################################  Max: 93.23 MBit/s
         ############## ##########################################  Ttl: 2.49 GByte
जैमिसन बेकर
स्रोत
1

काफी समय तक खोज करने के बाद (कुछ दिनों में 60 जीबी से अधिक बैंडविड्थ) समस्या का मुझे पता चला कि मेरा सर्वर डीडीओएस हमला स्रोत था।

सबसे पहले, मैंने उस पर ओरेकल डीबी स्थापित करने की कोशिश की, इसलिए मैंने ओरेकल उपयोगकर्ता बनाया। हैकर्स किसी तरह उस उपयोगकर्ता के लिए पास तोड़ने में कामयाब रहे (मुझे लगता है कि मुझे इसे और कठिन बनाना चाहिए :(), उन्होंने ओरेकल होम के तहत एक छिपे हुए डायर को बनाया, वहां एक कोंट्राब के साथ, जो मैन्युअल रूप से कुछ बहरों को चलाता था जो लक्ष्य सर्वर में बाढ़ आ जाती थी।

इसके अलावा, हैकर्स ने मेरे सर्वर पर 2 नए उपयोगकर्ता बनाए: avahi और colord। मुझे उनके बारे में क्या करना चाहिए? मैंने गुगली की और लगता है कि समान नाम वाला सॉफ़्टवेयर खतरनाक नहीं है, लेकिन मैंने उन उपयोगकर्ताओं (और oracle) को भी हटा दिया।

Futheremore I ने पूरे ऑरेकल होम को हटा दिया, इसमें सब कुछ के साथ।

मुझे लगता है कि मुझे अपने सर्वर को अधिक सुरक्षित करने की आवश्यकता है, क्योंकि यह फिर से हमला हो सकता है, मदद के लिए सभी को धन्यवाद!

कामिल
स्रोत
4
मैं आपके सर्वर को मिटा दूंगा और फिर से शुरू करूँगा, मैं कभी भी समझौता करने के बाद सर्वर पर भरोसा नहीं करता। ऑर्बिट से साइट को न्यूक करें, यह सुनिश्चित करने का एकमात्र तरीका है।
यूनिक्स जैनीटर
यप्प मैं ऐसा करने जा रहा हूं, सबसे पहले कुछ डेटा का बैकअप (svn रिपॉजिटरी, उपयोगी स्क्रिप्ट)
kamil
सुनिश्चित करें कि डेटा में अभी भी अखंडता है, यह घुसपैठियों के लिए स्रोत कोड और लिपियों को वापस दरवाजे लगाने के लिए संशोधित करने के लिए जाना गया है। मैं निश्चित रूप से हाल ही में चेक आउट संस्करण के साथ नवीनतम svn स्रोत की तुलना घुसपैठ से पहले करूंगा।
यूनिक्स जेनेटर
0

एक दिन में भेजे गए सभी पैकेटों को पकड़ना जब आप अपने बैंडविड्थ कोटा को पार कर रहे हैं, तो शायद सबसे समझदार दृष्टिकोण नहीं है - आप विश्लेषण के लिए सिस्टम का डेटा कैसे प्राप्त करने जा रहे हैं?

बॉक्स पर आपकी क्या पहुँच है? क्या बंदरगाह खुले हैं? क्या आपने उन सेवाओं के लिए लॉग की जाँच की है जो चल रही हैं? Awstats जैसी कोई चीज़ एफ़टीपी, एचटीटीपी और एसएमटीपी लॉग को संक्षेप में प्रस्तुत करेगी (इन सर्वरों को लॉग में डेटा रिकॉर्ड करने के लिए कॉन्फ़िगर किया गया है)। ओटोह mrtg एंडपॉइंट / पोर्ट द्वारा नेटवर्क के उपयोग को रिकॉर्ड और ट्रैक करेगा।

symcbean
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.