É normal que o tráfego de entrada exceda em muito o tráfego de saída?

5

Eu tenho um servidor web em um host coloc. Toda atividade 'planejada' é sobre HTTP. (Não há servidor FTP, cliente bittorrent, bots IRC, etc.)

Meu tráfego de entrada é consistentemente 5 a 10 vezes mais alto que o meu tráfego de saída. (Por exemplo, nas últimas 24 horas, já atendi 228MB de dados, mas recebi 1.94GB.)

  1. Este padrão / é esperado para um servidor da web? (Será que estou sendo golpeado com tentativas nefastas frustradas cujo tamanho do pacote versus uma resposta de 0 byte supera a relação inversa normal?)

  2. Se isso não for esperado, quais ferramentas devo usar para investigar de onde o tráfego está vindo? (O servidor está executando o Ubuntu 10.04.)

    
por Phrogz 17.02.2012 / 22:07

2 respostas

6

Sim para alguns protocolos. Não para os outros. A resposta é que depende do tipo de tráfego "normal" para o seu ambiente.

Pense na navegação na Web (e vamos apenas concordar por um momento que é representativo do tráfego normal da Internet para um escritório):

Eu quero olhar para esta questão, então eu conecto ao serverfault.com e vou

GET questions/361329 HTTP/1.1
host: serverfault.com

Tamanho total do meu tráfego de saída (solicitação): talvez 1K se incluirmos toda a sobrecarga de protocolo e solicitações adicionais que meu navegador fará para imagens e coisas do tipo.

O servidor serverfault.com mastiga meu pedido e retorna várias centenas de KB de HTML, imagens, etc.

Tráfego de saída: 1k. Tráfego de entrada: 19k (a partir desse cólon).

Se você é o servidor metade dessa equação, é normal que seu tráfego de saída exceda em muito o tráfego de entrada. Dê uma olhada neste gráfico da rede de hospedagem na web de um provedor anônimo:

Agora,seoseutráfegonãoestiverdojeitoquevocêachaquedeveria,umbomsistemademonitoramentodetráfego(oualgunsminutoscomtcpdump/ ethereal / etc.) pode lhe dar uma idéia do que está acontecendo, ou pelo menos quem está falando com quem em quais portas.

    
por 17.02.2012 / 22:21
1

Pensamentos aleatórios:

Eu tenho um servidor nginx que faz proxy para servidores de aplicativos por trás dele. Se você tiver uma configuração semelhante, a carga útil de resposta dos servidores de aplicativos que passam pelo servidor da web é considerada "de entrada"?

Você pode verificar o log do seu servidor da Web para ver se há alguma solicitação POST chegando.

Algum URL no seu site aceita dados POST? Webservers têm uma maneira de limitar o tamanho do corpo; talvez isso leve a alguma resolução. Por exemplo, isso limitará o tamanho do corpo do POST a 1 meg em nginx:

client_max_body_size 1m;

Finalmente, se o servidor não estiver recebendo nada além do tráfego da Web (e SSH), use o iptables para bloquear tudo menos 80 e 22.

    
por 21.02.2012 / 03:39