Страница 1 из 1

Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:02 am
prohost
Есть сервер в мастерхосте. Трафик предоставляется бесплатно при условии, что российский больше зарубежного, а исходящий больше входящего в 4 раза.
В сутки обычно раньше было
Исходящего 120 Гб (Российский 60%)
Входящего 12 Гб (Российский 60%)

Только что в панели управления мастерхоста обнаружил нарушение соотношения по трафику.

За последние 2 дня по статистике в панели управления мастерхоста исходящий не изменился.
Но входящего стало 62 Гб в сутки(Российский 11%)

То есть получил около 50 Гб входящего зарубежного трафика в сутки.
Написал в суппорт. Они сказали, что могут лишь отрубить весь зарубежный трафик.

На сервере стоит Linux debian ядро 2.4.29
Торможений в работе сайта не заметил.
В данное время большого зарубежного трафика уже нет, то есть если это была атака, то она закончилась.

Нашел странный скачок трафика в логах сетевой карты сервера сегодня в 14:35
Данные команды sar -n DEV
Код: выделить все
                      IFACE   rxpck/s    txpck/s    rxbyt/s      txbyt/s          rxcmp/s    txcmp/s   rxmcst/s
14:15:02         eth0    2231.71    2284.93   424077.57  2268779.79      0.00        0.00      0.00
14:25:01         eth0    2287.64    2376.53   399741.08  2513454.51      0.00        0.00      0.00
14:35:01         eth0    5734391.54 5852661.08 3047116.00 2343839.53  0.00      0.00      0.00
14:45:04         eth0    2255.90    2351.08   389081.00  2481800.62      0.00        0.00      0.00

То есть в обычное время происходит прием около 2200 пакетов в секунду, то в 14:35 происходил прием 5 734 391 пакетов в секунду. Увеличение количества пакетов в 2500 раз!!!

Вопросы.
1. Кто ни будь с этим сталкивался? Что это могло быть?
2. Какие технические меры можно предпринять для поиска и устранения причин этого? Подскажите какими командами Linux можно еще поискать причину этого?

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:04 am
proff
1. Флуд/дос
2. Настроить файр + пропатчить ядро

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:06 am
WebDesk
вот вам российские дц, как только ддос, так сразу счет в конце месяца.

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:07 am
proff
по крайней мере тут никто денег не просит если используешь 95 мегабит постоянно на сервере выполняя соотношения.

на западе (есть конечно исключения, но это не ширпотреб провайдеры) такого не дают 8-)

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:08 am
WebDesk
во многих дц "паразитный" трафик не учитывают. для списания трафика нужно отправить логи по трафу в суппорт.
В качестве защиты првильно настроить фаервол + установить ПО для блокировки открытием с одного ip более 1-100 коннектов.

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:11 am
ZloyKvoter
извиняюсь за оффтоп, с российскими дц общения не имел. вопрос по этому:
prohost писал(а): российский больше зарубежного, а исходящий больше входящего в 4 раза.

правильно ли я понимаю что:
сервер, прокачивающий 10тб российского трафика и скажем 5 зарубежного, при этом входящего в сумме 13 тб а исходящего - 2 - такой сервер ничего не нарушает.
а сервер с 1 гб зарубежного и 900мб российского - уже нарушитель, или с 200 мб входящего российского и 100 мб исходящего - тоже?

не вижу логики.. ведь если есть правило соотношений - то сервер, их соблюдающий, может прилично загружать сеть, занимая десятки мегабит канала, а другой, рядом - потреблять свой десяток килобит, но с неправильным соотношением. или я что-то упустил?

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Чт янв 03, 2008 1:12 am
WebDesk
угу. именно так и есть.

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

СообщениеДобавлено: Пт янв 04, 2008 1:24 pm
Hellsing
Ну тут действительно лажа какаято
1 возможно действительно досили
2 Другими способоми пытались "ложить" сайт
3 глянь все свои страници, возможно у тебя "крадут" траф. Да да "КРАДУТ"
Это делается примерно так на твоём сайте "вешается ссылочка" на какой-нибудь картинке люди заходя смотрят сайт а картинка то не там где ты думаеш. Короч долго оъбяснть просто советую проверить полностью свой сайт. Возможно им "пользуются".