阿里云ECS服务器 Linux 主机带宽异常跑满分析解决

发布时间:2018-07-09 20:55:39
发布:凯铧互联


问题现象

云服务器 ECS Linux 服务器带宽跑满,影响正常业务提供服务。

问题原因

可能是恶意程序问题,或者是部分 IP 恶意访问导致,亦可能是服务遭到了CC攻击

处理办法

处理办法有两种下面分别说明

1、使用 iftop 工具排查
2、使用 nethogs 进行排查
首先需要确定是哪一张网卡的带宽跑满,可以通过sar -n DEV 1 5 命令来获取网卡级别的流量图,命令中 1 5 表示每一秒钟取 1 次值,一共取 5 次。

命令执行后会列出每个网卡这 5 次取值的平均数据,根据实际情况来确定带宽跑满的网卡名称,默认情况下 eth0 为内网网卡,eth1 为外网网卡。

网卡带宽跑满

 

 

使用 iftop 工具排查

1、服务器内部安装 iftop 流量监控工具:

yum install iftop -y

服务部安装iftop流量监控

2、.服务器外网带宽被占满时,如果通过远程无法登陆,可通过阿里云终端管理进入到服务器内部,运行下面命令查看流量占用情况:

iftop -i eth1 -P 
注:-P 参数会将请求服务的端口显示出来,也就是说是通过服务器哪个端口建立的连接,看内网流量执行 iftop -i eth0 -P 命令。

阿里云终端

如上面示例图,通过分析发现最耗流量的是服务器上 53139 端口和 115.205.150.235 地址建立的连接,产生了大量入网流量。执行 netstat 命令反查 53139 端口对应进程。

netstat -tunlp |grep 53139
执行 netstat 命令反查 53139 端口对应进程

3、最终定位出来是服务器上 vsftpd 服务产生大量流量,这时可以通过停止服务或使用iptables服务来对指定地址进行处理,如屏蔽 IP 地址,限速,以保证服务器带宽能够正常使用。

 

使用 nethogs 进行排查

1、服务器内部安装 nethogs 流量监控工具:

yum install nethogs -y
2、通过 nethogs 工具来查看某一网卡上进程级流量信息,若未安装可以通过 yum、apt-get 等方式安装。

假定当前 eth1 网卡跑满,则执行命令 nethogs eth1,在右边的红框中可以看到每个进程的网络带宽情况,左边红框显示了进程对应的 PID,在此可以确定到底是什么进程占用了系统的带宽。

nethogs查看某一网卡上进程级流量信息

3、如果确定是恶意程序,可以通过 kill -TERM <PID> 来终止程序。

如是 Web 服务程序,则可以使用 iftop 等工具来查询具体 IP 来源,然后分析 Web 访问日志是否为正常流量,日志分析也可以使用 logwatch 或 awstats 等工具进行分析,若确定是正常的流量,则可以考虑升级服务器的带宽。

 

使用Web应用防火墙防御CC攻击

产品页面:https://www.aliyun.com/product/waf
Web应用防火墙防御CC攻击

以上就是阿里云ECS服务器 Linux 主机带宽异常跑满分析解决的相关说明,如果您还有阿里云服务器/阿里云产品折扣以及阿里云技术服务等,请您直接联系本站客服,阿里云代理商凯铧互联为您提供一对一服务。 阿里云代理商凯铧互联会为您提供专业全面的技术服务,同时还能为您提供阿里云产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠!若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线:136-5130-9831,QQ:3398234753。

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。