V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jasonz
V2EX  ›  服务器

阿里云入口流量异常

  •  
  •   jasonz · 2015-07-01 15:30:29 +08:00 · 4050 次点击
    这是一个创建于 3432 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一台阿里云的服务器,看监控感觉入口流量有点奇怪,一直维持在10-20KB/s
    $ sudo ifstat -i eth1观察了段时间,即时入口流量有突发到100+KB/s的情况。。

    但是iptables input只允许ssh连接。
    除去ssh和arp,$ sudo tcpdump -i eth1没有看到有什么奇怪的请求。

    不过$ sudo nethogs eth1倒是可以看到有其他ip尝试连接1080之类的端口。

    又看了下国外的一台vps,入口流量基本维持在4-5KB/s。

    我这个入口流量是怎么回事?
    监控数据/ifstat的入口流量数据难道记录了被iptables drop掉的包?

    7 条回复    2015-07-02 11:05:53 +08:00
    lhbc
        1
    lhbc  
       2015-07-01 15:33:53 +08:00 via iPhone
    我抓过包,都是ARP,发工单问,回复说是正常的
    jasonz
        2
    jasonz  
    OP
       2015-07-01 15:41:21 +08:00
    @lhbc 不过目测的话,入口流量突发到100+KB/s时,tcpdump包好像也没有很明显的增加。
    lhbc
        3
    lhbc  
       2015-07-01 18:44:29 +08:00 via iPhone
    @jasonz 你加了抓包参数吗?我直接抓接口所有包。ARP占几十Kbit/s
    jasonz
        4
    jasonz  
    OP
       2015-07-02 09:42:09 +08:00
    @lhbc 加了,主楼都有,几个命名都是指定抓eth1网卡(eth0是内网)。而且我的单位都是kilo byte/s,不是kilo bit/s。

    不过确实eth1能够看到有外网尝试连本地1080/1433/3389之类端口的syn包。
    Bantes
        5
    Bantes  
       2015-07-02 09:51:43 +08:00
    应该是阿里云的云盾数据流量
    jasonz
        6
    jasonz  
    OP
       2015-07-02 10:28:15 +08:00
    @Bantes 确实可以看到aegis服务几个进程,AliYunDun/AliHids/AliYunDunUpdate。

    如果是云盾有入口流量,端口是多少?
    网页上显示云盾一直是异常,没加iptables时好像也是异常- -
    Bantes
        7
    Bantes  
       2015-07-02 11:05:53 +08:00
    @jasonz 貌似一直都有这个问题,入网流量异常。我猜测是云盾的数据流量。我的服务器平均日入网流量50~100K,不是我自己的数据迁移流量。另外我还在想是不是太多入侵扫描造成的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2929 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 11:09 · PVG 19:09 · LAX 03:09 · JFK 06:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.