Meu servidor Ubuntu 10.04 mata toda a largura de banda da WAN quando está conectado à minha LAN. Onde você começa a solucionar problemas?

Navegue suas respostas
2

Primeiramente, devo dizer que meu conhecimento sobre Linux é mínimo; apenas o suficiente para configurar alguns servidores (Apache, Tomcat, Couch, etc). Eu construí um servidor MiniITX para hospedar alguns sites simples, atuar como um túnel SSH enquanto estou ausente e atuar como um servidor de torrent. Ele não foi adequadamente protegido por um longo tempo (o iptables estava vazio, todas as portas abertas, sem firewall), embora meu roteador não tivesse muito encaminhamento de porta configurado além de HTTP, FTP e SSH.

Uma ou duas semanas atrás minha largura de banda em casa caiu de cerca de 27Mbps para 2Mbps e meu upload passou de 7Mbps para 0,06Mbps. Quando eu desconecto o servidor da LAN, a largura de banda é disparada.

Eu criei um iptables restritivo, removi a maior parte do encaminhamento de portas e verifiquei os logs do meu roteador para ver se havia alguma conexão aberta do servidor (malware?), mas não havia nenhuma.

O que você faria? Quais são as primeiras coisas que você verificaria?

É claro que posso reinstalar tudo do zero, mas gostaria de encontrar a causa raiz.

EDITAR

Conectado à LAN: 

sudo route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
default         192.168.0.1     0.0.0.0         UG    100    0        0 eth0

iptraf > Monitor de tráfego IP > eth0

quememostrax103(oservidorcomproblema)ex130(oMacdoqualsouSSHing)comPacketseBytesvoandoaumataxaconstante,nuncaparando.Estousupondoqueesteéumloopdefeedbackinfinito,ondequalqueratualizaçãodoiptrafprecisaserenviadaatravésdarede,resultandoemoutraatualizaçãosendoregistrada,etc.Dequalquerforma,estámostrandoumfluxoTCPtaxade26kbits/squesimplesmentenãopodeexplicaraquedadeváriosMbpsnouploadenodownload.

iptraf>Estatísticasdetalhadasdainterface>eth0

iptraf > Repartições estatísticas > Por porta TCP / UDP > eth0

    
por rcampbell 30.12.2010 / 21:39

6 respostas

3

TCPDUMP pode mostrar o tráfego na rede. Isso pode ficar confuso, então você pode querer redirecioná-lo para um arquivo e procurá-lo mais tarde:
tcpdump -s 0 -Ai eth0

-s 0 define o comprimento da captura de pacotes, 0 significa o máximo possível, portanto sinta-se à vontade para ajustar conforme necessário.
-A imprime o tráfego em ASCII para que você possa ler algumas informações. i eth0 define a interface para assistir. Você deve se certificar de que esta é a sua interface WAN.

Com alguma sorte, você verá o que está gerando seus problemas de largura de banda.

    
por 30.12.2010 / 21:52
3

Eu desligaria imediatamente. Talvez você esteja agindo como um transmissor de spam ou algo pior. Então verifique localmente.

Também seria melhor inicializar a partir de um live linux (como knoppix ou ubuntu live ou sua marca preferida), não inicialize mais a partir do disco rígido.

Não é fácil diagnosticar sem mais conhecimento, mas provavelmente alguém assumiu essa máquina e a está usando para algo. Também pode ser uma botnet ou ser usada para ataques.

Eu sugiro isolar esta máquina de todo o resto. E talvez outras máquinas também possam estar infectadas.

Faça um backup dos seus dados. Use software de segurança, como verificadores de vírus. Aprenda como construir um ambiente protegido (máquinas, lan, firewall, roteador) e começar de novo. Tenha cuidado ao usar seus dados dessas máquinas, pode estar infectado.

Existe um risco potencial em tais configurações que você será responsabilizado por atividades proibidas ou criminosas que tenham sido feitas por outra pessoa usando sua máquina e IP, e também seu provedor de serviços de Internet não gosta do que aconteceu (se isso realmente aconteceu ).

Não se sinta culpado, pois isso acontece até mesmo para muitos administradores experientes, mas tente agir com responsabilidade e também aprenda com isso :) Boa sorte!

    
por 30.12.2010 / 21:43
1

tcpdump como outros sugeriram, embora se você suspeitar que a caixa pode estar enraizada, eu quero capturar o tráfego de outra máquina confiável que está sendo executada como uma ponte entre a caixa em questão e o switch LAN para o roteador ou de outra forma) ou se você tiver um hub antigo, você pode usar isso também.

Você menciona que é um servidor de torrent: você está, por acaso, semeando uma pilha de torrents? Isso eliminará rapidamente uma conexão com a Internet se houver muitos colegas e / ou muita largura de banda consumida.

    
por 30.12.2010 / 22:32
1

Se você estiver disposto a se arriscar a exibi-lo novamente (veja as respostas de mit), você pode ter uma noção imediata do que está acontecendo executando iptraf .

tcpdump lhe dará uma resposta mais definida (mais fácil de entender em wireshark)

    
por 30.12.2010 / 23:25
1

Depois de executar os testes dados nas várias respostas, ficou claro que minha caixa do Linux não estava realmente transmitindo muita coisa. Isso me deixou com o roteador - um D-Link DIR-655 A3 - como o problema. É da prateleira (não personalizado) e funcionou bem durante anos. Eu gasto algum tempo jogando com o meu PC com o Windows Media Center, que também está conectado ao roteador. Eu notei a queda de banda acontecer novamente - com o servidor desconectado - uma vez que eu iniciei um cliente de torrent. Eu sei que não é o meu ISP estrangulando a largura de banda quando percebe torrents, porque quando eu me conecto diretamente ao modem, o problema desaparece.

Acho que o problema é que os recursos do QoS Engine do meu roteador ou WISH (Wireless Intelligent Stream Handling) enlouquecem. Ambos os serviços moldam o tráfego, tanto o tráfego da LAN quanto da WAN. Eu desabilitei os dois serviços e até agora o problema parece ter desaparecido.

Quero agradecer a todos que postaram uma sugestão; Essas dicas me ajudaram a descobrir que o problema não estava com o meu servidor.

    
por 31.12.2010 / 12:36
1

Qual é a saída de sudo route antes e depois da LAN ser conectada?

EDITAR: Eth0 é sua LAN, onde está a interface da WAN - você pode postar a saída de ifconfig -a e route (novamente) quando ambas as redes estiverem operacionais?

Não se preocupe com vírus, backdoors ou encaminhamento de spam - até agora não vejo um bom motivo para isso. Vamos apenas diagnosticar isso como um problema de rede.

O iptraf que você está exibindo totaliza apenas cerca de 60K bits / s - isso não é muito tráfego. Você estava falando sobre uma largura de banda caindo de 27M para 2M bits / seg. Por favor, reproduza o problema (plug-in na interface pública, etc.) e execute iptraf , ifconfig -a e route .

    
por 30.12.2010 / 22:18

Tags

Por favor, explique este código BASH (uma linha) CentOS / Redhat: Dê permissão de arquivo para apache e vsftp