我有一个安装了 Lightppd 的 CentOS 5。我还安装了 MySQL。我最近发现流量很大:
http://img686.imageshack.us/img686/8596/traff.jpg
你能告诉我如何诊断这种流量的原因吗?我没有做任何可以解释它的事情。
答案1
图表似乎没有按端口细分流量,因此嗅探器会有所帮助。 就这一点而言,如果您认为这是网络流量,则假设 lighttpd 的日志记录已配置:
/var/log/lighttpd.log
您可以检查哪些 URL 被访问最多或哪些文件被下载最多。为了方便起见,请尝试使用 Webalizer 来解析日志:
http://www.cyberciti.biz/tips/lighttpd-install-and-configure-webalizer-statistics-software.html
答案2
A) 如果您有思科交换机,您可以对其进行设置,以便将流量镜像到特定端口,然后将另一台机器连接到以混杂模式设置的该端口,以使用 Wireshark 之类的工具监控 IP 流量。
B)您可以在服务器上运行 Wireshark(或您最喜欢的嗅探器)来实时监控流量。
C) 设置另一台装有 Linux 的机器来转发流量,并将服务器设置为使用该机器作为网关。看看是否可以使用端口嗅探器监控流量。
我建议使用第三方机器(如选项 A 或 C)来执行此操作,因为如果有恶意软件执行此操作,它可能会使用木马二进制文件伪装系统上的活动。无论如何,外部监控机器都会看到流量。