我知道这是一个很笼统的问题,但我想看看你们是否都能提供一些好的反馈。
我们的业务有三个地点,一个在西海岸,两个在东海岸。我们两个东海岸地点似乎经历了随机的高入口流量高峰,导致 ISP 关闭高带宽访问。这会触发 nagios 的警报,因为 nagios 服务器位于西海岸,无法连接到远程位置。我应该指出,这不仅是基于 nagios 警报,两个麻烦地点的用户也确认失去了互联网访问。ISP 也确认了暂时关闭。
尽管如此,入口流量的增长比正常使用量高出 10 到 20 倍。在这些随机时间里,业务照常进行,没有发生任何异常情况。
我们无法访问路由器,只有 ISP 可以访问,并且 ISP 已确认他们的路由器功能齐全。
这可能是什么?受感染的机器(僵尸网络?但为什么入口流量这么高)?坏了的交换机(坏了的交换机会导致入口流量增加 10-20 倍吗)?我愿意接受任何想法。
答案1
或许你是目标一些外部僵尸网络和/或广泛的 nmap。
我建议你仔细检查你遇到的入侵洪水类型。也许它相对无害(例如:传入垃圾邮件),但要仔细检查。