首先,我应该说我对 Linux 的了解很少;仅够设置一些服务器(Apache、Tomcat、Couch 等)。我建立了一个 MiniITX 服务器来托管一些简单的网站,在我离开时充当 SSH 隧道,并充当 torrent 服务器。它很长时间没有得到妥善保护(iptables 为空,所有端口都打开,没有防火墙),尽管我的路由器除了 HTTP、FTP 和 SSH 之外没有设置太多端口转发。
一两周前,我家里的带宽从 27Mbps 左右降到了 2Mbps,上传速度从 7Mbps 降到了 0.06Mbps。当我从 LAN 上拔下服务器时,带宽又回升了。
我设置了限制性 iptables,删除了大部分端口转发,并检查了我的路由器日志以查看服务器是否有任何开放连接(恶意软件?),但是没有。
你会怎么做?你首先会检查什么?
我当然可以从头开始重新安装所有内容,但我想找到根本原因。
编辑
连接到局域网:
sudo route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
iptraf> IP 流量监控 > eth0
它显示了 x103(问题服务器)和 x130(我使用 SSH 登录的 Mac),Packets并Bytes以恒定的速率飞速上升,永不停歇。我猜测这是一个无限的反馈循环,任何 iptraf 更新都需要通过网络发送,从而导致另一个更新被记录下来,等等。无论如何,它显示的 TCP 流量为 26 kbits/s这根本无法解释上传和下载速度数 Mbps 的下降。
iptraf> 详细接口统计信息 > eth0
iptraf> 统计分类 > 按 TCP/UDP 端口 > eth0
答案1
TCPDUMP可以显示网络上的流量。这可能会变得很混乱,因此您可能需要将其重定向到文件并稍后浏览:
tcpdump -s 0 -Ai eth0
-s 0设置数据包捕获的长度,0 表示尽可能长,因此可以根据需要随意调整。
-A以 ASCII 格式打印流量,以便您可以读取其中的一些内容。i eth0设置要监视的接口。您应该确保这是您的 WAN 接口。
如果幸运的话,您将会看到是什么导致了带宽问题。
答案2
我会立即拔掉电源。也许你正在充当垃圾邮件中继器或更糟糕的事情。然后在本地检查。
最好从实时 Linux(如 knoppix 或 ubuntu live 或您喜欢的品牌)启动,不要再从硬盘启动。
在没有进一步了解的情况下很难进行诊断,但很可能有人已经接管了这台机器并将其用于某些用途。也可能是僵尸网络或用于 dos 攻击。
我建议将这台机器与其他所有机器隔离。也许其他机器也可能被感染。
备份您的数据。使用安全软件,如病毒检查程序。了解如何构建受保护的环境(机器、局域网、防火墙、路由器)并重新开始。使用这些机器上的数据时要小心,因为可能会被感染。
这样的设置存在潜在的风险,即如果其他人使用您的机器和 IP 进行非法或犯罪活动,您将被追究责任,而且您的互联网服务提供商也不喜欢发生的事情(如果真的发生了)。
不要感到内疚,因为这种情况甚至发生在许多有经验的管理员身上,但要尝试采取负责任的态度并从中吸取教训:)祝你好运!
答案3
tcpdump正如其他人所建议的那样,尽管如果你怀疑该盒子可能已被植根,但我希望从另一台受信任的机器捕获流量,该机器作为该盒子与LAN交换机(内置于路由器或其他设备)之间的桥梁运行,或者如果你有一个旧的集线器,你也可以使用它。
您提到它是 torrent 服务器:您是不是偶然播种了一堆 torrent?如果对等点太多和/或占用太多带宽,这会很快切断互联网连接。
答案4
在运行了各种答案中给出的测试后,很明显我的 Linux 机器实际上并没有传输太多东西。这导致路由器(D-Link DIR-655 A3)成为问题。它是现成的(不是定制的),多年来一直运行良好。我花了一些时间玩我的 Windows Media Center PC,它也连接到路由器。我注意到带宽下降再次发生 - 服务器拔掉电源后 - 一旦我启动了 torrent 客户端。我知道不是我的 ISP 在注意到 torrent 时限制了带宽,因为当我直接连接到调制解调器时问题就消失了。
我认为问题出在我的路由器上QoS引擎或者WISH(无线智能流处理)功能变得疯狂。这两项服务都会影响流量,包括 LAN 和 WAN 流量。我禁用了这两项服务,到目前为止,问题似乎已经消失。
我要感谢所有发表建议的人;这些提示帮助我发现问题实际上不在我的服务器上。