Наплыв входящего зарубежного трафика на сервер. Что делать?
Добавлено: Чт янв 03, 2008 1:02 am
Есть сервер в мастерхосте. Трафик предоставляется бесплатно при условии, что российский больше зарубежного, а исходящий больше входящего в 4 раза.
В сутки обычно раньше было
Исходящего 120 Гб (Российский 60%)
Входящего 12 Гб (Российский 60%)
Только что в панели управления мастерхоста обнаружил нарушение соотношения по трафику.
За последние 2 дня по статистике в панели управления мастерхоста исходящий не изменился.
Но входящего стало 62 Гб в сутки(Российский 11%)
То есть получил около 50 Гб входящего зарубежного трафика в сутки.
Написал в суппорт. Они сказали, что могут лишь отрубить весь зарубежный трафик.
На сервере стоит Linux debian ядро 2.4.29
Торможений в работе сайта не заметил.
В данное время большого зарубежного трафика уже нет, то есть если это была атака, то она закончилась.
Нашел странный скачок трафика в логах сетевой карты сервера сегодня в 14:35
Данные команды sar -n DEV
То есть в обычное время происходит прием около 2200 пакетов в секунду, то в 14:35 происходил прием 5 734 391 пакетов в секунду. Увеличение количества пакетов в 2500 раз!!!
Вопросы.
1. Кто ни будь с этим сталкивался? Что это могло быть?
2. Какие технические меры можно предпринять для поиска и устранения причин этого? Подскажите какими командами Linux можно еще поискать причину этого?
В сутки обычно раньше было
Исходящего 120 Гб (Российский 60%)
Входящего 12 Гб (Российский 60%)
Только что в панели управления мастерхоста обнаружил нарушение соотношения по трафику.
За последние 2 дня по статистике в панели управления мастерхоста исходящий не изменился.
Но входящего стало 62 Гб в сутки(Российский 11%)
То есть получил около 50 Гб входящего зарубежного трафика в сутки.
Написал в суппорт. Они сказали, что могут лишь отрубить весь зарубежный трафик.
На сервере стоит Linux debian ядро 2.4.29
Торможений в работе сайта не заметил.
В данное время большого зарубежного трафика уже нет, то есть если это была атака, то она закончилась.
Нашел странный скачок трафика в логах сетевой карты сервера сегодня в 14:35
Данные команды sar -n DEV
- Код: выделить все
IFACE rxpck/s txpck/s rxbyt/s txbyt/s rxcmp/s txcmp/s rxmcst/s
14:15:02 eth0 2231.71 2284.93 424077.57 2268779.79 0.00 0.00 0.00
14:25:01 eth0 2287.64 2376.53 399741.08 2513454.51 0.00 0.00 0.00
14:35:01 eth0 5734391.54 5852661.08 3047116.00 2343839.53 0.00 0.00 0.00
14:45:04 eth0 2255.90 2351.08 389081.00 2481800.62 0.00 0.00 0.00
То есть в обычное время происходит прием около 2200 пакетов в секунду, то в 14:35 происходил прием 5 734 391 пакетов в секунду. Увеличение количества пакетов в 2500 раз!!!
Вопросы.
1. Кто ни будь с этим сталкивался? Что это могло быть?
2. Какие технические меры можно предпринять для поиска и устранения причин этого? Подскажите какими командами Linux можно еще поискать причину этого?