Ubuntu
入站流量遠超出站流量正常嗎?
我在 coloc 主機上有一個 Web 伺服器。所有“計劃中的”活動都通過 HTTP。(沒有 FTP 伺服器,沒有 bittorrent 客戶端,沒有 IRC 機器人等)
我的入站流量始終是出站流量的 5-10 倍。(例如,在過去的 24 小時內,我提供了 228MB 的數據,但收到了 1.94GB。)
- 這是 Web 伺服器的標準/預期嗎?(我是否可能會受到挫敗的惡意嘗試的抨擊,其數據包大小與 0 字節響應壓倒了正常的反比關係?)
- 如果這不是預期的,我應該使用什麼工具來調查流量來自哪裡?(伺服器執行的是 Ubuntu 10.04。)
是的,對於某些協議。對其他人不。答案是這取決於您的環境中“正常”的流量類型。
想想網頁瀏覽(讓我們暫時同意它代表辦公室的正常網際網路流量):
我想看看這個問題,所以我連接到 serverfault.com 並去
GET questions/361329 HTTP/1.1 host: serverfault.com
我的出站流量(請求)的總大小:如果我們包括所有協議成本和我的瀏覽器將對圖像等發出的額外請求,則可能為 1K。
serverfault.com 伺服器咀嚼我的請求並返回數百 KB 的 HTML、圖像等。
出站流量:1k。入站流量:19k(截至該冒號)。
如果您是該等式的伺服器一半,那麼您的出站流量遠遠超過您的入站流量是正常的。看看來自匿名 ISP 的網路託管網路的這張圖:
現在,如果您的流量看起來不像您認為的那樣,那麼一個好的流量監控系統(或幾分鐘使用
tcpdump
/ethereal
/ 等)可能會讓您了解正在發生的事情,或者至少誰在與誰在哪些埠上交談.