服务器流量异常,该怎么排查问题?
回答·20
最热
最新
- 真实经历: 背景 1: 由于我们服务器是属于当地一个运营商,运营商为了拓展业务所以使用了免流量策略,所以我们公网地址全部在免流量地址里。 背景 2:运营商有一套 cache 位于我们服务器和用户中间,提供缓存服务节省出网带宽,cache 命中策略只关注 ip 地址后面的 URI 不关注服务器 ip 地址。 然后有当地技术大牛🐮发现了缓存服务器存在,并发现了缓存服务器的命中策略,另外得知运营商的免流量业务,探测得知很多免流量服务器地址(不知是我们的服务器的地址),然后他把 pc 或者手机代理设置成免费服务器地址,请求到 cache 以后,cache 直接返回他想要下载的文件,然后核心网认为他请求的是我们的服务器,导致流量不计费。 重点来了,大牛把这种方法放到网上传播开来了,导致大量用户去尝试这种方法。但是很多人发送的请求下载链接并不能命中,然后流量就到了我们服务器,导致我们服务器有大量 http 错误码。 定位的过程非常艰辛,刚开始我们只知道有错误过来,然后找防火墙 DNS,都找不到原因,后来一段一段抓包分析,头都要爆炸了。后来,本地员工在网上看到了大神的分享,然后才知道问题出在哪里,把 cache DNS 检验功能打开,直接拒绝了这部分流量,问题才得到解决。
- 确认流量是 in 还是 out,in 流量确认是针对于哪个端口或者应用的,out 流量异常就需要查找服务器是否已经中招了
- 先抓包,后确定通讯源头
- Netsat 命令确定各个服务的监听和动态端口,再通过交换机抓包或者流量分析工具分析流量最大的服务和对应端口,然后通过指定流量数据分析异常流量是否正常应用的合规流量。如果不是,果断阻断。
- 第一时间向上级反映并报告故障点,查看系统日志,再做简单分析确认可能性! 1.服务器被暴力破解 2.服务器被攻击 DD/CC 一、首先,可以先登录服务器里面检查服务器日志,看看是否有 IP 多次异常登录并显示登录失败的请求,如果显示多次登录失败,说明有人正在尝试暴力破解登录你的服务器,占用了你过多的带宽资源。解决办法:把异常请求的 IP 加入到防火墙的黑名单中;端口改成随机 5 位,尽量复杂些;密码更改复杂些,安全系数高避免被恶意破解。若已经被暴力破解了,建议重装下系统。不管怎样,预防大于治疗,提前做好安全防护措施是非常有必要的。 二、其次,检查下服务器的 80 端口连接数,看看 80 端口连接数是不是很多,这个要结合用户自己平常对访问流量的一个掌握,一般情况下 80 连接数几百是正常的,假如上千到万了,很有可能就是被攻击导致的流量异常。 解决办法:若是被攻击了导致的流量异常,一般情况下服务器商会封掉被攻击的 IP,等没有被攻击了,一定时间后会自动解封。这里要判别下是打 IP 还是打网站,可以把被攻击的 IP 下的站解析到其他的 IP 下。若这个换过的 IP 还是被打,很有可能是网站被攻击,一般情况下都是同行竞争引起的,这个时候建议使用高防类的服务器。若是换了 IP,之前的被攻击的 IP 还是被打,那可能是打 IP,可以询问服务器商更换 IP。欢迎共同交流,一起学习成长,希望能够帮到大家。
- 看量,如果过分大,有可能是被攻击;量增幅不打,开始业务量增加还是异常请求,还是程序交互传输数据大了导致流量一次
- 针对这个问题,我个人认为可以从两个方向考虑,一个服务器是否遭受 DDOS 攻击,其次考虑是不是服务器上的应用是不是有很多人访问或者是在生产的过程中一些配置错误导致服务器消耗大量带宽。
- 方法一:如果是 Windows 系统,可使用 netstat -ano 命令查看对外链接情况,配合任务管理器定位检查流量进程和具体程序。 方法二:安装流量防火墙实时跟踪各进程流量,找到问题进程。 方法三:通过网内防火墙等安全设备定位主机流量变化及链接外部服务器。 方法四:在主机上抓包分析流量。
- 钓鱼呢~ 从服务器角度分析是很困难的。任何服务器都有出网口,在汇聚层或接入层做端口镜像,筛选出内网异常服务器与出网口所有的映射关系,分析五元组。如果有专业的防火墙,这都是支持的。只要是主动对外的 syn,都非常可疑。
- 首先服务器抓包看取流量,系统自带进程看取流量,软件读取软件。插件,后台使用流量。找到并解决