80 端口出站流量过多

tag-icon tag-icon centos iptables
80 端口出站流量过多

我的服务器白白消耗了过多的传出带宽,这给我带来了很大的问题。服务器操作系统是 CentOS 6.4 x64,内核是 2.6.32-431。

以下是一个简短的 tcpdump 日志文件:

20:10:17.448636 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 463681, win 65520, options [nop,nop,sack 1 {460801:462241}], length 0
20:10:17.448698 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 468001:469441, ack 0, win 123, length 1440
20:10:17.454074 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 469441:470881, ack 0, win 123, length 1440
20:10:17.637167 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 465121, win 65520, options [nop,nop,sack 1 {466561:468001}], length 0
20:10:17.637221 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 470881:472321, ack 0, win 123, length 1440
20:10:17.637230 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 472321:475201, ack 0, win 123, length 2880
20:10:17.638062 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 468001, win 65520, length 0
20:10:17.638078 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [.], seq 475201:478081, ack 0, win 123, length 2880
20:10:17.642977 IP 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827 > svgmain.http: Flags [.], ack 470881, win 65520, length 0
20:10:17.642988 IP svgmain.http > 76.200.77.222.broad.pt.fj.dynamic.163data.com.cn.57827: Flags [P.], seq 478081:480961, ack 0, win 123, length 2880

还有数千个条目,每天消耗 100GB 或更多。我尝试了许多不同的防火墙规则。我的 iptables 规则是:

-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j fail2ban-HTTP
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 198.101.197.171/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m limit --limit 2/sec --limit-burst 2 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
-A fail2ban-HTTP -j RETURN
-A fail2ban-SSH -j RETURN

我是一名业余系统管理员,所以我不太清楚如何防止此类攻击。

iftop 显示随着数据接收者而变化的任意 IP,nethogs 显示 /usr/bin/httpd 是占用带宽的进程。iotop 没有显示任何活动,但是告诉我没有读取任何实际文件。

有什么想法吗?

答案1

好的,你有:

  • 从你的 HTTP 端口发送了大量流量
  • nethogs 显示你的 httpd 守护进程正在发送它
  • 目标 IP 是互联网上的各类计算机
  • iotop 没有显示任何内容(这意味着它被缓存在内存中)

我的诊断:您正在运行 Web 服务器。

检查您的 Web 服务器访问日志,查看人们正在访问哪些内容。这是正常流量吗?考虑使用 CDN 来减少您的传出带宽。

哦,日志里什么都没有吗?

  • 您确定 httpd 正在您认为它正在记录的位置进行记录吗?
  • 尝试终止 httpd,捕获流量,然后重新启动 httpd,这样您就可以捕获开始的请求。
  • 如果他们正在下载巨大的文件,则日志可能直到下载完成才会出现。
  • 使用 apache?尝试启用该server-status模块,以便您可以询问 httpd 正在做什么。

相关内容