我的 Web 服务器 (Debian Bullseye,Apache2) 为分布在 16 个 IP 地址上的大约 50 个 (小型) 网站提供服务。我刚刚注意到,自本月初以来,其中一个 IP 地址上的流量已从平均 3k/s 上升到平均 500k/s。
此 IP 地址服务于大约 8 个不同的域。检查这些域的 apache 日志,我没有发现任何异常。
我如何检查是什么导致了这种流量?我尝试了 tcpdump:
tcpdump -i eno1 -v src <ip address>
但并不真正了解它的输出,所以是什么原因导致了高流量。
在此先感谢您的帮助!
答案1
实际上,tcpdump 方法确实帮助我确定了哪个域导致了问题。这个特定域是一个 WordPress 网站,其“反应”页面已被超过 2,000 条垃圾邮件攻击。该页面每分钟至少被请求几次(由同一个和其他垃圾邮件机器人请求),因此这导致了高流量。我已从网站上删除该页面,流量已恢复正常。