URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62111
[ Назад ]

Исходное сообщение
"Вырос исходящий трафик"
Отправлено zkrvova , 24-Ноя-05 18:31

В последнее время вырос исходящий трафик. Т.е. если раньше он был примерно меньше 10% от входящего, то щас где-то больше 25%.
На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что имеет разрешение на доступ к внешнему интерфейсу. Apache - в основном используется для внутренних целей, сайт перенесён, с мира к нему очень редко обращаются.
Подскажите пожалуйста, как отследить куда идёт исходящий трафик. Исходящих писем очень мало. Вроде некому ничего слать наружу, только named может что-то отвечать, но не так же много.
Заранее благодарен.

Содержание

Вырос исходящий трафик,vvvua, 18:35 , 24-Ноя-05
- Вырос исходящий трафик,zkrvova, 13:24 , 25-Ноя-05
  - Вырос исходящий трафик,vvvua, 13:56 , 25-Ноя-05
Вырос исходящий трафик,Skif, 13:38 , 25-Ноя-05
- Вырос исходящий трафик,zkrvova, 14:47 , 25-Ноя-05
  - Вырос исходящий трафик,Lisa, 14:52 , 25-Ноя-05
    - Вырос исходящий трафик,zkrvova, 15:14 , 25-Ноя-05
      - Вырос исходящий трафик,Lisa, 15:55 , 25-Ноя-05
        
        Вырос исходящий трафик,zkrvova, 16:48 , 25-Ноя-05
  - Вырос исходящий трафик,Skif, 15:21 , 25-Ноя-05
    - Вырос исходящий трафик,vvvua, 16:04 , 25-Ноя-05
      - Вырос исходящий трафик,zkrvova, 16:50 , 25-Ноя-05

Сообщения в этом обсуждении

"Вырос исходящий трафик"
Отправлено vvvua , 24-Ноя-05 18:35

1. Ставим, если не стоит, trafshow (http://soft.risp.ru/trafshow/index.shtml)
2. Смотрим исходящий интерфейс
trafshow -n -i fxp0
3. Если не нашли, что какнал грузит, то добавляем фильтов в trafshow

>В последнее время вырос исходящий трафик. Т.е. если раньше он был примерно
>меньше 10% от входящего, то щас где-то больше 25%.
>На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что имеет
>разрешение на доступ к внешнему интерфейсу. Apache - в основном используется
>для внутренних целей, сайт перенесён, с мира к нему очень редко
>обращаются.
>
>Подскажите пожалуйста, как отследить куда идёт исходящий трафик. Исходящих писем очень мало.
>Вроде некому ничего слать наружу, только named может что-то отвечать, но
>не так же много.
>
>Заранее благодарен.

"Вырос исходящий трафик"
Отправлено zkrvova , 25-Ноя-05 13:24

А trafshow может вести лог? Ато неудобно когда надо налету всё смотреть?

"Вырос исходящий трафик"
Отправлено vvvua , 25-Ноя-05 13:56

nea
>А trafshow может вести лог? Ато неудобно когда надо налету всё смотреть?
>

"Вырос исходящий трафик"
Отправлено Skif , 25-Ноя-05 13:38

sockstat -4
Может забыли про какой-то сервис? Бывает, сам прокалывался не один раз.
nload - покажет загрузку интерфейса в риалтайме.
какую нибудь считалку, которая будет показывать еще и какие порты при соединении юзались с каких ip
ng_ipacct ng_netflow и т.д.

"Вырос исходящий трафик"
Отправлено zkrvova , 25-Ноя-05 14:47

>sockstat -4
>Может забыли про какой-то сервис? Бывает, сам прокалывался не один раз.
>nload - покажет загрузку интерфейса в риалтайме.
>какую нибудь считалку, которая будет показывать еще и какие порты при соединении
>юзались с каких ip
>ng_ipacct ng_netflow и т.д.
Чегото ненайду ng_ipacct ng_netflow чтоб для линукса описание, а Вы их настраивали? Можете помочь?

"Вырос исходящий трафик"
Отправлено Lisa , 25-Ноя-05 14:52

>>sockstat -4
>>Может забыли про какой-то сервис? Бывает, сам прокалывался не один раз.
>>nload - покажет загрузку интерфейса в риалтайме.
>>какую нибудь считалку, которая будет показывать еще и какие порты при соединении
>>юзались с каких ip
>>ng_ipacct ng_netflow и т.д.
>
>Чегото ненайду ng_ipacct ng_netflow чтоб для линукса описание, а Вы их настраивали?
>Можете помочь?
посмотрите какие порты открыты:
netstat -na|grep LISTEN
21, например - анонимный фтп закрыт????

"Вырос исходящий трафик"
Отправлено zkrvova , 25-Ноя-05 15:14

>посмотрите какие порты открыты:
>netstat -na|grep LISTEN
>
>21, например - анонимный фтп закрыт????
ftp вообще неподнят
Пожалуйста:
tcp        0      0 127.0.0.1:1024          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:1025            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:3333            0.0.0.0:*               LISTEN
tcp        0      0 10.1.10.1:139           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 10.1.10.1:53            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 10.1.10.1:22            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3000          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3001          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3003          0.0.0.0:*               LISTEN
unix  2      [ ACC ]     STREAM     LISTENING     2549   /dev/gpmctl
unix  2      [ ACC ]     STREAM     LISTENING     2651   /tmp/.font-unix/fs7100
unix  2      [ ACC ]     STREAM     LISTENING     2252   /var/drweb/run/.daemon

"Вырос исходящий трафик"
Отправлено Lisa , 25-Ноя-05 15:55

>>посмотрите какие порты открыты:
>>netstat -na|grep LISTEN
>>
>>21, например - анонимный фтп закрыт????
>
>ftp вообще неподнят
>
1024, 1025, 3333, 139, 110, 111, 80, 53, 22, 3128, 3000, 953, 25, 3001, 443, 3003 - это список открытых портов.
trafshow -n -i fxp0, обращая внимание на список портов.
логи приложений посмотреть.
>На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что >имеет разрешение на доступ к внешнему интерфейсу.
3128 - А как насчет прокси-сервера. кто к нему имеет доступ?
25 - почта. кому разрешена отправка почты?

"Вырос исходящий трафик"
Отправлено zkrvova , 25-Ноя-05 16:48

>>>посмотрите какие порты открыты:
>>>netstat -na|grep LISTEN
>>>
>>>21, например - анонимный фтп закрыт????
>>
>>ftp вообще неподнят
>>
>1024, 1025, 3333, 139, 110, 111, 80, 53, 22, 3128, 3000, 953,
>25, 3001, 443, 3003 - это список открытых портов.
Это я знаю, правда немогу понять кому некоторые порты принадлежат.
>
>trafshow -n -i fxp0, обращая внимание на список портов.
>логи приложений посмотреть.
>
>>На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что >имеет разрешение на доступ к внешнему интерфейсу.
>
>3128 - А как насчет прокси-сервера. кто к нему имеет доступ?
только внутренняя сеть. Тут всё нормально, его логи я смотрю по нескольку раз на день.
>25 - почта. кому разрешена отправка почты?
Только внутренней сети.

"Вырос исходящий трафик"
Отправлено Skif , 25-Ноя-05 15:21

Это под фрю, под линух... ну netflow просто посмотри, еще что-то подоюное. Просто я 90% времени общаюсь с фряхами, очень редко с линуксом. По этому всех доступных софйтин для него не знаю.
Почему ng_ неработают - нет реализации netgraph для линукс, это чисто BSD-шная фича

"Вырос исходящий трафик"
Отправлено vvvua , 25-Ноя-05 16:04

На основе ipcad можно
>Это под фрю, под линух... ну netflow просто посмотри, еще что-то подоюное.
>Просто я 90% времени общаюсь с фряхами, очень редко с линуксом.
>По этому всех доступных софйтин для него не знаю.
>Почему ng_ неработают - нет реализации netgraph для линукс, это чисто BSD-шная
>фича

"Вырос исходящий трафик"
Отправлено zkrvova , 25-Ноя-05 16:50

>На основе ipcad можно
>>Это под фрю, под линух... ну netflow просто посмотри, еще что-то подоюное.
>>Просто я 90% времени общаюсь с фряхами, очень редко с линуксом.
>>По этому всех доступных софйтин для него не знаю.
>>Почему ng_ неработают - нет реализации netgraph для линукс, это чисто BSD-шная
>>фича

ipcad это и под Linux? Спасибо, посмотрю.