如何识别网络出口的源头?

如何识别网络出口的源头?

我每月要为“从美洲到亚太地区的 Compute Engine 网络互联网出站流量”支付约 60-70 美元(500-600GB)。我的实例全部为us-central1

我在日志中看到过很多针对 http 服务的一次性探测,但没有像这种规模的探测。只是偶尔请求 word-press 管理资源。

我还看到很多 ssh 尝试被拒绝。在看到账单中的这一项之前,我并没有太担心它们。这些 ssh 尝试加起来可能达到该数量的出站流量吗?

目前我的防火墙仅允许通过负载均衡器使用 https,以及从任何地方使用 ssh。其他默认设置也仍然有效——从任何地方使用 ICMP,从任何地方使用 RDP(我不使用 RDP)。

我希望更好地了解流量来自哪里,以便可以有效地更新防火墙。

编辑

我关闭了 ICMP 和 SSH 防火墙,确认没有新的无效登录尝试,并且对出口速率没有影响。我不得不说这是我所期望的。

在我的实例上运行一些之后iftopmtr我开始怀疑这个出站流量可能是我的应用程序自己到 graph.facebook.com 的流量。然而这让我很困惑,因为我看到该域名解析到美国和爱尔兰的 IP。所以我可以相信有少量流量流向欧洲,我预计“美洲到美洲”的流量会更高。但这如何转化为亚太地区呢?

编辑2

我将大部分流量转移到 graph.facebook.com。我没有在帖子中推送图像数据,而是提供了一个带有 CDN 的云存储 URL,让 Facebook 提取图像数据。

此操作将我每天流向亚太地区的流量从约 16GB 减少到约 1GB。Google 似乎将流向 Facebook 的流量计为亚太地区的流量,这一点非常明显。

但对我来说,给出 Facebook 数据中心的位置毫无意义。不过,这是一个新的、不同的问题,我认为这个问题已经基本结束了。我将为这个问题添加一个答案,其中包括我在诊断时使用的网络工具。

答案1

向 2021 年面临类似问题的任何人重申:

入口(传入数据包)始终免费,出口(离开 GCP 的数据包)可以查看定价这里

您可以使用VPC 流日志以确定您的出站目标。虽然流日志是免费的,但您需要为记录的数据量

oftop、和应用程序日志等应用程序mtr在分析数据进出时很有用。

可以使用以下方式阻止不需要的流量防火墙规则
为了更好地控制,请启用防火墙规则日志记录

相关内容