1. 使用iftop和jtraf监控实时流量
安装iftop:在Linux系统中,可以使用apt-get install iftop -y命令安装iftop。
启动iftop并查看实时流量:运行iftop命令,可以看到各个进程的网络流量情况,通过观察界面上的刻度尺和箭头,可以了解不同进程的发送和接收流量。
定位高流量进程:根据iftop显示的信息,找出流量最大的进程,api-node3:58218的流量最大,接下来需要确定该端口对应的进程ID。
2. 确定高流量进程的PID
使用lsof或netstat命令:可以通过lsof -i :58218或netstat -tunlp | grep 58218来确定端口号58218对应的进程ID(PID),假设确认PID为25701。
3. 检查服务器日志
检查登录日志:查看服务器日志,特别是登录日志,检查是否有多次异常登录尝试,如果发现有IP多次尝试登录并失败,可能是暴力破解攻击。
检查80端口连接数:使用netstat -nat|grep -i '80'|wc -l命令检查80端口的连接数,如果连接数异常高,可能是遭受了DD/CC攻击。
4. 采取相应措施
针对暴力破解:将异常请求的IP加入防火墙黑名单,更改端口号为复杂随机值,修改密码复杂度,如果已经被暴力破解,建议重装系统。
针对DD/CC攻击:联系服务器提供商封禁攻击IP,或者将受攻击的IP解析到其他IP上,如果攻击目标明确是网站,可以考虑使用高防服务器。
5. 限制高流量IP(可选)
使用iftop限制特定IP的流量:可以通过iftop的参数设置来限制某个网段的进出流量,例如iftop -F 10.10.1.0/255.255.255.0。
6. 监控网卡流量
使用nethogs监控网卡:安装nethogs后,可以使用nethogs eth0 -d 3命令监控eth0网卡的流量,每3秒刷新一次,通过观察哪个进程的流量过高,可以进一步定位问题。
7. 分析流量高峰原因
结合访问统计和日志:登录虚拟主机管理面板,查看网站访问统计,结合服务器日志分析网站访问情况,找出流量高峰的原因。
检查文件系统状态:如果文件系统状态异常,可能会导致流量异常,登录管理控制台,检查弹性文件服务页面,确保文件系统状态为“可用”。
单元表格
| 步骤 | 工具/命令 | 说明 | |
| 1 | iftop |
查看实时流量 | |
| 2 | lsof -i :<端口号> 或netstat -tunlp |
grep<端口号> | 确定端口对应的进程ID |
| 3 | 检查服务器日志 | 识别暴力破解或DD/CC攻击 | |
| 4 | 防火墙配置、更改端口号、修改密码 | 针对暴力破解采取措施 | |
| 5 | 联系服务器提供商、使用高防服务器 | 针对DD/CC攻击采取措施 | |
| 6 | nethogs<网卡名> -d 3 |
监控网卡流量 | |
| 7 | 访问统计、服务器日志、文件系统状态检查 | 分析流量高峰原因 |
相关问题与解答
问:如何防止服务器被暴力破解?
答:将异常请求的IP加入防火墙黑名单,更改端口号为复杂随机值,修改密码复杂度,如果已经被暴力破解,建议重装系统。
问:如何应对DD/CC攻击?
答:联系服务器提供商封禁攻击IP,或者将受攻击的IP解析到其他IP上,如果攻击目标明确是网站,可以考虑使用高防服务器。
问:如何监控特定网卡的流量?
答:使用nethogs <网卡名> -d 3命令监控指定网卡的流量,每3秒刷新一次。
以上就是关于“服务器流量大怎么排查”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!