阿里云入口流量异常

2015-07-01 15:30:29 +08:00
 jasonz

一台阿里云的服务器,看监控感觉入口流量有点奇怪,一直维持在10-20KB/s
$ sudo ifstat -i eth1观察了段时间,即时入口流量有突发到100+KB/s的情况。。

但是iptables input只允许ssh连接。
除去ssh和arp,$ sudo tcpdump -i eth1没有看到有什么奇怪的请求。

不过$ sudo nethogs eth1倒是可以看到有其他ip尝试连接1080之类的端口。

又看了下国外的一台vps,入口流量基本维持在4-5KB/s。

我这个入口流量是怎么回事?
监控数据/ifstat的入口流量数据难道记录了被iptables drop掉的包?

4078 次点击
所在节点    服务器
7 条回复
lhbc
2015-07-01 15:33:53 +08:00
我抓过包,都是ARP,发工单问,回复说是正常的
jasonz
2015-07-01 15:41:21 +08:00
@lhbc 不过目测的话,入口流量突发到100+KB/s时,tcpdump包好像也没有很明显的增加。
lhbc
2015-07-01 18:44:29 +08:00
@jasonz 你加了抓包参数吗?我直接抓接口所有包。ARP占几十Kbit/s
jasonz
2015-07-02 09:42:09 +08:00
@lhbc 加了,主楼都有,几个命名都是指定抓eth1网卡(eth0是内网)。而且我的单位都是kilo byte/s,不是kilo bit/s。

不过确实eth1能够看到有外网尝试连本地1080/1433/3389之类端口的syn包。
Bantes
2015-07-02 09:51:43 +08:00
应该是阿里云的云盾数据流量
jasonz
2015-07-02 10:28:15 +08:00
@Bantes 确实可以看到aegis服务几个进程,AliYunDun/AliHids/AliYunDunUpdate。

如果是云盾有入口流量,端口是多少?
网页上显示云盾一直是异常,没加iptables时好像也是异常- -
Bantes
2015-07-02 11:05:53 +08:00
@jasonz 貌似一直都有这个问题,入网流量异常。我猜测是云盾的数据流量。我的服务器平均日入网流量50~100K,不是我自己的数据迁移流量。另外我还在想是不是太多入侵扫描造成的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/202504

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX