阿里云入口流量异常 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jasonz
V2EX    服务器

阿里云入口流量异常

  •  
  •   jasonz 2015-07-01 15:30:29 +08:00 4336 次点击
    这是一个创建于 3760 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一台阿里云的服务器,看监控感觉入口流量有点奇怪,一直维持在10-20KB/s
    $ sudo ifstat -i eth1观察了段时间,即时入口流量有突发到100+KB/s的情况。。

    但是iptables input只允许ssh连接。
    除去ssh和arp,$ sudo tcpdump -i eth1没有看到有什么奇怪的请求。

    不过$ sudo nethogs eth1倒是可以看到有其他ip尝试连接1080之类的端口。

    又看了下国外的一台vps,入口流量基本维持在4-5KB/s。

    我这个入口流量是怎么回事?
    监控数据/ifstat的入口流量数据难道记录了被iptables drop掉的包?

    7 条回复    2015-07-02 11:05:53 +08:00
    lhbc
        1
    lhbc  
       2015-07-01 15:33:53 +08:00 via iPhone
    我抓过包,都是ARP,发工单问,回复说是正常的
    jasonz
        2
    jasonz  
    OP
       2015-07-01 15:41:21 +08:00
    @lhbc 不过目测的话,入口流量突发到100+KB/s时,tcpdump包好像也没有很明显的增加。
    lhbc
        3
    lhbc  
       2015-07-01 18:44:29 +08:00 via iPhone
    @jasonz 你加了抓包参数吗?我直接抓接口所有包。ARP占几十Kbit/s
    jasonz
        4
    jasonz  
    OP
       2015-07-02 09:42:09 +08:00
    @lhbc 加了,主楼都有,几个命名都是指定抓eth1网卡(eth0是内网)。而且我的单位都是kilo byte/s,不是kilo bit/s。

    不过确实eth1能够看到有外网尝试连本地1080/1433/3389之类端口的syn包。
    Bantes
        5
    Bantes  
       2015-07-02 09:51:43 +08:00
    应该是阿里云的云盾数据流量
    jasonz
        6
    jasonz  
    OP
       2015-07-02 10:28:15 +08:00
    @Bantes 确实可以看到aegis服务几个进程,AliYunDun/AliHids/AliYunDunUpdate。

    如果是云盾有入口流量,端口是多少?
    网页上显示云盾一直是异常,没加iptables时好像也是异常- -
    Bantes
        7
    Bantes  
       2015-07-02 11:05:53 +08:00
    @jasonz 貌似一直都有这个问题,入网流量异常。我猜测是云盾的数据流量。我的服务器平均日入网流量50~100K,不是我自己的数据迁移流量。另外我还在想是不是太多入侵扫描造成的。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2318 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 23ms UTC 16:04 PVG 00:04 LAX 09:04 JFK 12:04
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86