Bant genişliğimi neyi veya kimin kullandığını nasıl öğrenebilirim?

17

Dürüst olmak gerekirse, sunucu yönetiminde fakirim ama patronum benden yardım istedi. Sunucusunun 2GB / gün sınırlı bant genişliği var ve bugün şirketten onu aştığı ve kullandığı uyarısı aldı ... 24GB.

İmkansız olduğu için, problemi takip edip edemeyeceğimi sordu. Nereden başlayacağımı veya ne yapacağımı bilmiyorum.

Herhangi bir bilgi neyin yanlış olduğunu nasıl bulabilirim?

Makine Ubuntu 12.04 üzerinde çalışıyor. En ilginç şey, barındırıcıdan alınan diyagramlara göre, sadece giden transferin kullanılmasıdır.

DÜZENLE

Öneriler için teşekkürler, tcpdump'ı çalıştıracağım ve sonucu incelemeye çalışacağım

linux  ubuntu 
kamil
kaynak
Lütfen yorumlarınızı sorunuzun yerine yorum olarak gönderin.
EEAA
İşte sorum, tcpdump'ı arka planda çalıştırabilir miyim?
kamil
Yapabilirsin, evet. Bir ekran oturumundan veya bunun gibi bir şeyden çalıştırmanız gerekir . Yine de ... yakalanan verilerin tümünü depolamak için yeterli diskiniz olduğundan emin olmanız gerekir. Muhtemelen kılavuz sayfasını okumalı tcpdumpve paket verilerinin geri kalanını atarak yalnızca TCP / IP başlıklarını yakalamak için nasıl yapılandırılacağını görmelisiniz.
EEAA
quanta

Yanıtlar:

18

Anında izleme için iftop'u kullanabilirsiniz . Bu, o anda etkin olan bağlantıları ve kullandıkları bant genişliğini gösterir. Yüksek trafik bağlantısı belirledikten sonra, yerel bağlantı noktası numarasını netstatbulun ve bağlantının hangi sürece ait olduğunu bulmak için kullanın.

sudo netstat -tpn | grep 12345

Daha uzun süreli izleme için darkstat gibi bir şey öneririm . Bu, ana makine ve bağlantı noktası başına trafiğin neyle ilgili olduğunu anlamanıza olanak tanıyan bir arıza sağlayabilir.

mgorven
kaynak
1
iotop? Yoksa iftop'u mu düşünüyordun ?
EEAA
@ErikA Ah, evet .. ben de öyle dedim!
mgorven
7

Ntop yüklemenizi tavsiye ederim.

http://www.ntop.org/

Bunu bir ana bilgisayar ağ geçidine / yönlendiricisine yerleştirin ve bir gün / hafta boyunca trafiği izleyin. Ntop, IP / port / protokol ile bir arıza alabileceğiniz bir web kullanıcı arayüzü sağlar.

dmourati
kaynak
2

Peki, bir paket yakalama genellikle böyle durumlarda başlamak için ilk yerdir. Tcpdump öğesinin ( $ sudo apt-get install tcpdump) kurulu olduğundan emin olun ve ardından aşağıdakileri çalıştırın:

$ sudo tcpdump -w packet.log

Bu işlem, tüm paketlerin günlüğünü yazar packet.log. Bunun birkaç dakika çalışmasına izin verin, ardından dosyayı indirin ve Wireshark kullanarak inceleyin . Gizem trafiği hala gerçekleşiyorsa, paket yakalama verileri aracılığıyla üstünkörü bir bakışla oldukça açık olmalıdır.

EEAA
kaynak
Wireshark kullanma İstatistikler menüsü - Uç noktalar kullanın. Daha sonra IP veya TCP veya diğer listeleri seçebilir ve her bir uç nokta tarafından alınan / iletilen miktara göre sıralayabilirsiniz. Bitiş noktasının IP adresi veya makine olduğu yer. Ancak bazı uç noktalar ağ geçidi veya anahtar olabilir, bu nedenle bant genişliği kullanıcısını izlemek için bu ağ geçidinde başka bir tcpdump ve wireshark yapmak gerekir.
gaoithe
2

Göz at tcpdump . Daha sonra Wireshark gibi bir uygulama ile okuyabileceğiniz tüm ağ trafiğini (yalnızca adın önerdiği gibi tcp değil) dökebilir. Wireshark'ta belirli veri türlerini filtrelemek ve hatta ağ G / Ç grafiklerini çizmek çok kolaydır.

Başka bir yararlı araç, devam eden ağ bağlantılarının bir listesini görüntüleyen netstat olabilir. Belki de orada olmaması gereken bağlantılar vardır. Tcpdump çok daha kullanışlıdır (birkaç dakika yakalayın, ardından kaynağı zaten görüp göremediğinizi kontrol edin), ancak netstat size hızlı bir genel bakış sunabilir.

Bu arada okuduktan sonra, ilk düşüncelerim sunucunuzda kötü amaçlı yazılım olması veya amplifikasyon saldırıları için kullanılmasıdır. Ancak bunu incelemek için önce tcpdump çalıştırmanız gerekir.

Düzenleme: tcpdump muhtemelen kök olarak çalıştırılması gerektiğini unutmayın, belki de kullanmanız gerekir sudo tcpdump.

Başka bir düzenleme: Genel olarak hangi amplifikasyon saldırılarının bağlantılandırılması için gerçekten iyi bir web sayfası bulamadığım için kısa bir sürüm:

DNS gibi protokoller UDP'de çalışır. UDP trafiği bağlantısızdır ve böylece başka birinin IP adresini kolayca taklit edebilirsiniz. DNS yanıtı genellikle sorgudan daha büyük olduğundan, bu bir DoS saldırısı için kullanılabilir. Saldırgan, DNS sunucusunun belirli bir adla ilgili tüm kayıtlarını isteyen bir sorgu gönderir ve DNS sunucusuna isteğin X'ten kaynaklandığını bildirir. Bu X, saldırganın DoS yapmak istediği hedeftir. DNS sunucusu daha sonra X'e (büyük, 4kB) yanıtı göndererek nazikçe yanıt verir.

Saldırgan, X'in gerçekte aldığından daha az veri gönderdiği için bu amplifikasyon. DNS, bunun mümkün olduğu tek protokol değildir.

Luc
kaynak
1
Evet. tcpdump -i herhangi bir -w /tmp/traffic.pcap. Wireshark kullanma İstatistikler menüsü - Uç noktalar kullanın. Alınan / iletilen miktara göre sıralayın.
gaoithe
2

Bunun için en iyi araç muhtemelen iftop ve sudo apt-get install iftop ile kolayca apt-get'able. Suçlu IP'sinin / ana bilgisayar adlarına göre çıktı görüntüler:

             191Mb      381Mb                 572Mb       763Mb             954Mb
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local            => box-2.local                      91.0Mb  27.0Mb  15.1Mb
                      <=                                  1.59Mb   761kb   452kb
box4.local            => box.local                         560b   26.8kb  27.7kb
                      <=                                   880b   31.3kb  32.1kb
box4.local            => userify.com                         0b   11.4kb  8.01kb
                      <=                                  1.17kb  2.39kb  1.75kb
box4.local            => b.resolvers.Level3.net              0b     58b    168b
                      <=                                     0b     83b    288b
box4.local            => stackoverflow.com                   0b     42b     21b
                      <=                                     0b     42b     21b
box4.local            => 224.0.0.251                         0b      0b    179b
                      <=                                     0b      0b      0b
224.0.0.251           => box-2.local                         0b      0b      0b
                      <=                                     0b      0b     36b
224.0.0.251           => box.local                           0b      0b      0b
                      <=                                     0b      0b     35b


─────────────────────────────────────────────────────────────────────────────────
TX:           cum:   37.9MB   peak:   91.0Mb     rates:   91.0Mb  27.1Mb  15.2Mb
RX:                  1.19MB           1.89Mb              1.59Mb   795kb   486kb
TOTAL:               39.1MB           92.6Mb              92.6Mb  27.9Mb  15.6Mb

Eski * nix'in klasik ve güçlü sar ve netstat yardımcı programlarını unutmayın!

Başka harika bir araçtır nload , gerçek zamanlı olarak bant genişliği izleme ve kolayca sudo apt-get install nload ile Ubuntu veya Debian yüklü için harika bir araç.

Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:


                               .         ...|
                               #         ####|
                           .. |#|  ...   #####.         ..          Curr: 2.07 MBit/s
                          ###.###  #### #######|.     . ##      |   Avg: 1.41 MBit/s
                         ########|#########################.   ###  Min: 1.12 kBit/s
             ........    ###################################  .###  Max: 4.49 MBit/s
           .##########. |###################################|#####  Ttl: 1.94 GByte
Outgoing:
            ##########  ###########    ###########################
            ##########  ###########    ###########################
            ##########. ###########   .###########################
            ########### ###########  #############################
            ########### ###########..#############################
           ############ ##########################################
           ############ ##########################################
           ############ ##########################################  Curr: 63.88 MBit/s
           ############ ##########################################  Avg: 32.04 MBit/s
           ############ ##########################################  Min: 0.00 Bit/s
           ############ ##########################################  Max: 93.23 MBit/s
         ############## ##########################################  Ttl: 2.49 GByte
Jamieson Becker
kaynak
1

Sorunun ne olduğunu bir süre aradıktan sonra (birkaç gün içinde 60GB'ın üzerinde bant genişliği) Sunucumun bir DDOS saldırı kaynağı olduğunu keşfettim.

Her şeyden önce, Oracle DB'yi yüklemeye çalıştım, bu yüzden oracle kullanıcısı oluşturdum. Hackerlar bir şekilde bu kullanıcı için geçişi kırmayı başardılar (sanırım zorlaştırmalıyım :(), Oracle evinin altında gizli bir direk oluşturdular, orada bir crontab vardı, bu da hedef sunucuyu sular altında bırakan bazı deamonları el ile çalıştırdı.

Dahası, bilgisayar korsanları sunucumda 2 yeni kullanıcı oluşturdu: avahi ve colord. Onlar hakkında ne yapmalıyım? Google'ı aradım ve aynı adı taşıyan yazılımın tehlikeli olmadığı anlaşılıyor, ancak bu kullanıcıları sildim (ve oracle de).

Dahası, içindeki her şeyi içeren tüm kehaneti sildim.

Sanırım sunucumu daha fazla güvence altına almam gerekiyor, çünkü tekrar saldırıya uğrayabilir, yardım için herkese teşekkürler!

kamil
kaynak
4
sunucunuzu silip tekrar başlıyorum, bir uzlaşmadan sonra asla bir sunucuya güvenmiyorum. siteyi yörüngeden çek, emin olmanın tek yolu bu.
Unix Kapıcısı
Yupp Bazı verilerin öncelikle yedekleme, o yapacağım (svn deposu, yararlı komut dosyaları)
kamil
Verilerin hala bütünlüğüne sahip olduğundan emin olun, davetsiz misafirlerin arka kapıları yerleştirmek için kaynak kodunu ve komut dosyalarını değiştirdiği biliniyor. Saldırı girmeden önce en son svn kaynağını son zamanlarda kullanıma alınmış bir sürümle kesinlikle karşılaştırırdım.
The Unix Janitor
0

Bant genişliği kotanızı aştığınızda bir günde gönderilen tüm paketleri yakalamak muhtemelen en mantıklı yaklaşım değildir - analiz için sistemin verilerini nasıl alacaksınız?

Kutuda hangi erişiminiz var? Hangi portlar açık? Çalışan hizmetlerin günlüklerini kontrol ettiniz mi? Awstats gibi bir şey FTP, HTTP ve SMTP günlüklerini özetleyecektir (bu sunucuların verileri günlüklere kaydetmek için yapılandırıldığı varsayılarak). OTOH mrtg, ağ kullanımını uç nokta / bağlantı noktasına göre kaydeder ve izler.

symcbean
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.