Archiv verlassen und diese Seite im Standarddesign anzeigen : Hoher Traffic - Faktor 30x zu sonst Üblichem
netzmeister
02.12.04, 23:14
Hallo,
auf einem meiner Server habe ich seit einige tagen etwa das dreißgfache
des üblichen Datentransfers.
Ich habe schon alles mir Bekannte durchsucht und auch durchsuchen lassen.
Ich finde einfach nichts. Dennoch möchte ich gerne wissen wo das her kommt.
Über Ideen freue ich mich sehr.
Viele Grüße
Eicke
Roger Wilco
02.12.04, 23:21
Hast du Zugriff auf den Switch, an dem der Rechner hängt? Falls ja könntest du evtl. dort in Erfahrung bringen, was den Traffic verursacht. Ansonsten das Allheilmittel: tcpdump eine gewisse Zeit mitlaufen lassen und den Dump analysieren.
Ich nehme mal nicht an, dass es sich um so etwas triviales wie Traffic von einem FTP-Daemon, Mail- oder Webserver handelt, wenn du nichts gefunden hast.
Der Untergeher
02.12.04, 23:24
Hmm, Du weißt nicht welche Dienste den Traffic verursachen? Schneide mal mit Ethereal ein paar Sekunden mit und schau was da so funkt. 'netstat -tulpen' zeigt die "lauschenden" Dienste ... Oder versteh' ich was falsch?
Grüße
Untergeher
was hat sich erhöht und was wird wie gemessen?
traffic eines bestimmten protokolls (ip, routerprotokolle) oder traffic auf bestimmten ports?
treten vielleicht durch netzwerkfehler retransmissions auf?
-j
netzmeister
02.12.04, 23:29
Hallo,
natürlich habe ich Zugriff auf alle Systeme.
Hier mal die Ausgabe von
web:~# netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 0 3160 260/tcpserver
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 0 3162 258/tcpserver
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 0 2811 157/inetd
tcp 0 0 0.0.0.0:9 0.0.0.0:* LISTEN 0 2808 157/inetd
tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN 0 2810 157/inetd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 3158 257/tcpserver
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 3332 269/perl
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 3170 263/tcpserver
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 13593 3153/apache
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 0 3175 267/tcpserver
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 2870 215/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 3173 255/tcpserver
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 0 13592 3153/apache
udp 0 0 0.0.0.0:9 0.0.0.0:* 0 2809 157/inetd
web:~#
Irgendwie stehe ich auf dem Schlauch.
Ethereal habe ich noch nicht ausprobiert.
Iptraf hatte ich schon ausprobiert.
Viele Grüße
Eicke
netzmeister
02.12.04, 23:31
gemessen wird direkt am CISCO Router, ...
netzmeister
02.12.04, 23:34
eth0 Link encap:Ethernet HWaddr 00:0C:76:62:AE:A0
inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.xxx Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4385597 errors:0 dropped:0 overruns:0 frame:0
TX packets:3781030 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3497891065 (3.2 GiB) TX bytes:3427970392 (3.1 GiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:49152 errors:0 dropped:0 overruns:0 frame:0
TX packets:49152 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:129243905 (123.2 MiB) TX bytes:129243905 (123.2 MiB)
web:~#
Da läuft IMAP wie ich sehe: prüfe mal die Mail-Logs. Ich hab hier seit einigen
Tagen extrem gestiegenen Mail-Traffic durch SPAM (70-80kb/Mail).
HTH
Wolfgang
Würde auch erst einmal das Mailsystem checken (logs+sniffs auswerten).
Es gibt seit kurzem wieder mal eine neue Sober-Wurmvariante.
netzmeister
03.12.04, 08:34
Hallo,
sobald ich den stcker ziehe, hört es sofort auf: Siehe heute ab 9:30 Uhr
den Knick:
http://www.linuxforen.de/bilder/traffic_03.12.2004.png
Woran kann das mit diesem extrem hohen Traffic liegen?
Was kann ich dagegen tun?
Viele Grüße
Eicke
Iptraf hatte ich schon ausprobiert.
Guten Morgen Eicke,
was sagt denn Iptraf?
Damit müsstest Du doch sehen können von welchem Port der hohe Traffic verursacht wird...
mfg
cane
sobald ich den stcker ziehe, hört es sofort auf: Siehe heute ab 9:30 Uhr
naja, wenn man den Stecker zieht hört's natürlich auf ;-)
...
Die Möglichkeit, einzelne Dienste Stück für Stück abzuschalten, um so den "Versursacher" zu finden, wenn die Logs nichts hergeben hast Du nicht, oder? (vermute ich mal...)
netzmeister
03.12.04, 08:52
Hallo cane,
auf dem Rechner ist naturgemäß eine Menge Traffic, das liegt
an den vielen Accounts für E-Mail.
Auf Zuruf könnte ich einem versierten User einen Login geben.
Viele Grüße
Eicke
hmm um wieviel ist denn der traffic erhöht?
besteht die möglichkeit das dir jemand ein rootkit untergejubelt hat?
ich mein n scriptkiddy das den server für warez nutzen will?
netzmeister
03.12.04, 09:21
Hallo,
rootkit wurde schon geprüft, ist nichts drauf.
Viele Grüße
Eicke
Man könnte doch kurzfristig IPAC-NG (http://ipac-ng.sourceforge.net/) installieren. Dann kommt man der Sache vielleicht eher auf die Spur.
Hi Eicke,
wie hast du denn den Traffic gemessen? Geht da mehr raus oder mehr rein?
Zu Cisco-Routern fällt mir die Security Advisory vom 22.07.2004 ein (http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml). Das schon mal gecheckt?
MfG
LKH
netzmeister
03.12.04, 09:33
Hallo LKH,
den CISCO habe schon geprüft. Es ist keiner, der von diesem Advisory
betroffen wäre.
Es geht genauso viel rein wie raus.
Viele Grüße
Eicke
gibt's evtl. die Möglichkeit, den Speicherplatz auf der Platte nachzuvollziehen - sollte es an erhöhtem Mailaufkommen liegen (z.B. wegen Würmern und so) - dann sollte das ja irgendwo landen, wenn es nicht wg. falscher Adressen oder so gebounct wird...
dann sieh dir mal, wie cane vorschlug, mit iptraf die verteilung an. da der cisco alles zählt, weiss man nicht, WAS genau sich erhöht hat.
-j
derRichard
03.12.04, 15:08
hallo!
ich hab das problem am server grad behoben.
eine mail ist zwichen dem server und einem anderem immer hin und her gegagngen.
der entfernte mta hat den header der mail gekillt. (schlechter filter oder so)
folglich konnte eickes mta nicht mehr feststellen, dass diese mail bereits gebounced wurde.
//richard
Um zu checken ob da viel über Mail-Würmer reinkommt, würde ich als
schnellen Test im Mail-Spool sehen was pro Stunde reinkommt:
find /var/spool/(imap)? -ctime 1 -size +36k -printf "%s\n" \
|awk '{tot+=$1} END{print tot}'
Bei dem Mailserver eines Kunden sind die problematischen Mails 40-80kb groß
und machen bis >80% des Gesamtraffics aus.
HTH
Wolfgang
EDIT: good news ;)
derRichard
03.12.04, 15:25
Um zu checken ob da viel über Mail-Würmer reinkommt, würde ich als
schnellen Test im Mail-Spool sehen was pro Stunde reinkommt:
find /var/spool/(imap)? -ctime 1 -size +36k -printf "%s\n" \
|awk '{tot+=$1} END{print tot}'
Bei dem Mailserver eines Kunden sind die problematischen Mails 40-80kb groß
und machen bis >80% des Gesamtraffics aus.
HTH
Wolfgang
EDIT: good news ;)
hi!
das is ein qmail-mta, da gibt es kein /var/spool/...
//richard
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.