Forum Debian Users Gang

debbie · 2012-01-30 11:13:12

Witam!
Mam taki problem - od jakiegoś czasu mam strasznie obciążoną sieć
( w sieci mam dwa serwery z aplikacjami webowymi w oparciu o php i mysql'a
oraz serwer internetowy przez który wszyscy wychodzą na internet.
Wie ktoś może czym najszybciej sprawdzić kto generuje najwiekszy ruch na sieci
( np kto zjada większość przepustowości jeżeli chodzi o neta oraz generuje największy ruch
w LANie. )
Był bym wdzięczny za podpowiedź.

winnetou · 2012-01-30 11:22:37

na dobry początek proponuję zainteresować się następującymi cudami: tcpdump, nethogs, iptfraf. Z autopsji mogę powiedzieć tylko - szczególną uwagę zwróć na UDP ;) Czasami różne dziwactwa się pałętają po serwerach ;)

Byłbym zapomniał jeszcze wireshark (wersja gtk i konsolowa)

Jacekalex · 2012-01-30 11:30:13

Jest troche monitorów sieciowych, jak np Darkstat. jest Iptraf, jest Ethreape, Wireshark i jest zwykły Tcpdump czy Snort.

Do wyboru do koloru.

Pewnie jakiś komp (jeden, lub kilka, lub wszystkie) podłączony do sieci, mieszczący się w kategorii

przez który wszyscy wychodzą na internet

załapał jakiś syf sterowany z zewnątrz, i teraz pracowicie sieje pakietami uczestnicząc w atakach ddos.

Prawdopodbnie masz taki lub podobny przypadek.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2012-01-30 11:31:10)

debbie · 2012-01-30 13:23:13

Sprawdziłem iptraf'em i jeżeli chodzi o UDP to mam:

UDP (604 bytes) from 0.0.0.0:68 to 255.255.255.255:67 (src HWaddr 40f4ec91a3 │
│ UDP (72 bytes) from 192.168.1.88:62398 to 192.168.1.255:61117 (src HWaddr d0 │
│ UDP (72 bytes) from 172.16.111.1:520 to 172.16.255.255:520 (src HWaddr 00134 │
│ UDP (604 bytes) from 0.0.0.0:68 to 255.255.255.255:67 (src HWaddr 40f4ec91a3 │
│ UDP (72 bytes) from 192.168.1.88:62398 to 192.168.1.255:61117 (src HWaddr d0 │
│ UDP (78 bytes) from 192.168.1.19:137 to 192.168.1.255:137 (src HWaddr 8c736e
UDP (78 bytes) from 192.168.1.19:137 to 192.168.1.255:137 (src HWaddr 8c736e │
│ UDP (328 bytes) from 0.0.0.0:68 to 255.255.255.255:67 (src HWaddr 000ae48a14 │
│ UDP (71 bytes) from 172.16.100.2:1027 to 194.204.159.1:53 (src HWaddr 00304f │
│ UDP (71 bytes) from 172.16.100.2:1027 to 194.204.159.1:53 (src HWaddr 00304f │
│ UDP (120 bytes) from 194.204.159.1:53 to 172.16.100.2:1027 (src HWaddr 00134 │
│ UDP (120 bytes) from 194.204.159.1:53 to 172.16.100.2:1027 (src HWaddr 00134
UDP (71 bytes) from 172.16.100.2:1027 to 194.204.159.1:53 (src HWaddr 00304f │
│ UDP (71 bytes) from 172.16.100.2:1027 to 194.204.159.1:53 (src HWaddr 00304f │
│ UDP (71 bytes) from 172.16.100.2:1027 to 194.204.159.1:53 (src HWaddr 00304f │
│ UDP (71 bytes) from 172.16.100.2:1027 to 194.204.159.1:53 (src HWaddr 00304f │
│ UDP (138 bytes) from 194.204.159.1:53 to 172.16.100.2:1027 (src HWaddr 00134 │
│ UDP (138 bytes) from 194.204.159.1:53 to 172.16.100.2:1027 (src HWaddr 00134
UDP (604 bytes) from 0.0.0.0:68 to 255.255.255.255:67 (src HWaddr 40f4ec91a3 │
│ UDP (229 bytes) from 192.168.1.61:138 to 192.168.1.255:138 (src HWaddr 842b2 │
│ UDP (72 bytes) from 192.168.1.88:62398 to 192.168.1.255:61117 (src HWaddr d0 │
│ UDP (64 bytes) from 192.168.1.240:60779 to 194.204.159.1:53 (src HWaddr 0015 │
│ UDP (64 bytes) from 172.16.100.2:60779 to 194.204.159.1:53 (src HWaddr 00304 │
│ UDP (96 bytes) from 194.204.159.1:53 to 172.16.100.2:60779 (src HWaddr 00134
UDP (76 bytes) from 172.16.100.2:1351 to 195.187.245.55:123 (src HWaddr 0030 │
│ UDP (76 bytes) from 195.187.245.55:123 to 172.16.100.2:1351 (src HWaddr 0013 │
│ UDP (604 bytes) from 0.0.0.0:68 to 255.255.255.255:67 (src HWaddr 40f4ec91a3 │
│ UDP (67 bytes) from 192.168.1.240:62974 to 194.204.159.1:53 (src HWaddr 0015 │
│ UDP (67 bytes) from 172.16.100.2:62974 to 194.204.159.1:53 (src HWaddr 00304 │
│ UDP (173 bytes) from 194.204.159.1:53 to 172.16.100.2:62974 (src HWaddr 0013
UDP (89 bytes) from 172.16.100.2:55548 to 94.245.121.253:3544 (src HWaddr 00 │
│ UDP (137 bytes) from 94.245.121.253:3544 to 172.16.100.2:55548 (src HWaddr 0 │
│ UDP (137 bytes) from 94.245.121.253:3544 to 192.168.1.80:55548 (src HWaddr 0 │
│ UDP (72 bytes) from 192.168.1.88:62398 to 192.168.1.255:61117 (src HWaddr d0

leci na czerwono cały czas. Ciężko coś stwierdzić. Ma ktoś jakiś pomysł??

Jacekalex · 2012-01-30 14:29:07

Sprawdź wszystkie protokoły, to może być UDP - np teardrop, to może być TCP (np slowloris), to może być ping of death - czyli ICMP.

I nie musisz wrzucać tu logów, bo zarówno na iptrafie, jak i na każdym innym programie zobaczysz ilościowo, ile czego leci.

Np Darkstat prezentuje bardzo fajne statystyki per/host , tak samo Ntop, i tam mniej więcej widać, co się dzieje.
A jak namierzysz kompy i adresy, które wysyłają najwięcej (lub ściągają) to sprawdzasz, co tam leci, na danym adresie.

Poza tym zrób sobie lepiej precyzyjne kolejki per/host w sieci
"wszyscy wychodzą na internet", gdzie ustalisz, ile pojedynczy komp może wysyłać/odbierać, i po krzyku.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2012-01-30 14:36:40)

Forum Debian Users Gang

Ogłoszenie

#1 2012-01-30 11:13:12

debbie - Użytkownik

Problem z dużym obciążeniem sieci

#2 2012-01-30 11:22:37

winnetou - złodziej wirków ]:->

Re: Problem z dużym obciążeniem sieci

#3 2012-01-30 11:30:13

Jacekalex - Podobno człowiek...;)

Re: Problem z dużym obciążeniem sieci

#4 2012-01-30 13:23:13

debbie - Użytkownik

Re: Problem z dużym obciążeniem sieci

#5 2012-01-30 14:29:07

Jacekalex - Podobno człowiek...;)

Re: Problem z dużym obciążeniem sieci

Stopka forum