Em uma configuração simples de servidor web (CentOS 7) com nginx / apache (configuração de proxy reverso) eu tenho muito tráfego de entrada em um NIC (eth0).
1. Existe uma maneira de descobrir o que causa ou "onde chega"?
Não há serviços FTP, Mail ou DB em execução. O DB (MongoDB e MySQL) estão em servidores diferentes e a conexão está em um NIC diferente (eth1).
eth0 é pública enquanto eth1 está conectada a um switch privado sem acesso externo. Existe um firewall e, para a eth0, apenas as portas 80, 443 e 22 estão abertas. O Fail2ban bane algumas centenas de IPs por dia (tentando fazer login via ssh), mas isso é semelhante aos meus outros servidores.
2. Se alguém estiver enviando dados arbitrários para qualquer porta arbitrária, i. e. 555, que o firewall deve bloquear, o vnstat ainda registra todos os dados ou apenas o tamanho dos cabeçalhos e o restante é rejeitado?
Não consegui encontrar nenhum arquivo suspeito no servidor. O site não oferece nenhum mecanismo de upload.
Estou gravando o tráfego com o vnstat. As últimas 24h ficaram assim:
h rx (MiB) tx (MiB) h rx (MiB) tx (MiB) h rx (MiB) tx (MiB)
13 4045.50 6184.14 21 2683.89 4172.90 05 1652.97 1226.57
14 3210.47 4768.60 22 2923.88 3303.21 06 1473.85 1686.85
15 3310.31 5880.16 23 1850.60 1909.20 07 1506.75 3185.17
16 3697.05 5347.17 00 1924.60 1544.29 08 2412.61 3972.74
17 2656.44 4270.50 01 3103.59 2019.04 09 2602.51 5185.76
18 1889.34 4209.50 02 1890.90 1014.04 10 3353.67 6353.20
19 1679.18 5564.48 03 2502.21 1197.43 11 1792.24 6760.07
20 2661.70 14444.84 04 2187.66 1089.72 12 571.53 1852.97
À noite, neste caso entre a meia-noite e as 5 da manhã (UTC), o tráfego de entrada excede mesmo o tráfego de saída, o que não faz muito sentido para mim - ainda é apenas um website.
O tcpdump mostra muita ação na porta 443 e muito menos na porta 80, mas a duração é quase sempre 0. Às vezes, existem alguns bytes, mas isso não compensa alguns shows por hora. Não há quase nada acontecendo na porta 22.
tcpdump -l -n -i eth0 dst port 443 and inbound
12:40:50.682931 IP 1.2.3.4.13416 > 1.2.3.4.http:
Flags [.], ack 173761, win 428, options [nop,nop,TS val 223856478 ecr 281640876], length 0
Eu gostaria de descobrir a origem ou o motivo desse tráfego e bloqueá-lo, de alguma forma.