當我的 Ubuntu 10.04 伺服器連接到我的 LAN 時,它會殺死所有 WAN 頻寬。您從哪裡開始故障排除?
首先我應該說我的 Linux 知識很少;足以設置一些伺服器(Apache、Tomcat、Couch 等)。我建構了一個 MiniITX 伺服器來託管一些簡單的站點,在我離開時充當 SSH 隧道,並充當種子伺服器。儘管我的路由器除了 HTTP、FTP 和 SSH 之外沒有設置太多埠轉發,但很長一段時間都沒有得到適當的保護(iptables 為空,所有埠都打開,沒有防火牆)。
一兩週前,我在家的頻寬從大約 27Mbps 下降到 2Mbps,我的上傳速度從 7Mbps 下降到 0.06Mbps。當我從 LAN 中拔下伺服器時,頻寬會反彈。
我拋出了一個限制性的 iptables,刪除了大部分埠轉發,並檢查了我的路由器日誌以查看是否有來自伺服器的任何打開的連接(惡意軟體?)但沒有。
你會怎麼辦?你要檢查的第一件事是什麼?
我當然可以從頭開始重新安裝所有東西,但我想找到根本原因。
編輯
連接到區域網路:
sudo route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 default 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
iptraf> IP 流量監控 > eth0它向我展示了 x103(問題伺服器)和 x130(我從中進行 SSH 連接的 Mac)
Packets並Bytes以恆定的速度飛升,永不停止。我猜這是一個無限的回饋循環,任何 iptraf 更新都需要通過網路發送,導致另一個更新被記錄,等等。無論如何,它顯示的 TCP 流量26 kbits/s根本無法解釋多-上傳和下載的 Mbps 下降。
iptraf> 詳細介面統計 > eth0
iptraf> 統計明細 > 按 TCP/UDP 埠 > eth0
TCPDUMP可以顯示網路上的流量。這可能會變得混亂,因此您可能希望將其重定向到文件並稍後瀏覽:
tcpdump -s 0 -Ai eth0
-s 0設置抓包的長度,0表示盡可能多,可以根據需要隨意調整。
-A以 ASCII 格式列印流量,以便您閱讀其中的一些內容。i eth0設置要觀看的界面。您應該確保這是您的 WAN 介面。運氣好的話,您會看到是什麼導致了您的頻寬問題。
我會立即拔掉它。也許您正在充當垃圾郵件中繼或更糟的角色。然後在本地檢查。
最好從 live linux(如 knoppix 或 ubuntu live 或您喜歡的品牌)啟動,不要再從硬碟啟動它。
沒有進一步的知識就不容易診斷,但很可能有人已經接管了這台機器並將其用於某事。也可能是殭屍網路或用於 Dos 攻擊。
我建議將這台機器與其他所有東西隔離開來。也許其他機器也可能被感染。
備份您的數據。使用安全軟體,例如病毒檢查器。了解如何建構受保護的環境(機器、區域網路、防火牆、路由器)並重新開始。使用這些機器上的數據時要小心,可能會被感染。
在此類設置中存在潛在風險,您將對他人使用您的機器和 IP 進行的禁止或犯罪活動負責,而且您的網際網路服務提供商也不喜歡發生的事情(如果這真的發生了)。
不要感到內疚,因為即使對於許多有經驗的管理員也會發生這種情況,但要盡量負責任並從中吸取教訓 :) 祝你好運!