Linux服务器大量向外发包问题排查

最新推荐文章于 2024-05-18 21:05:16 发布
最新推荐文章于 2024-05-18 21:05:16 发布
阅读量1.6w 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/levy_cui/article/details/51142796
版权
最近Linux redhat 6.5 APP 业务系统,向外大量发送流量,不断建立tcp连接,目标地址是美国的一个IP,
估计被当成肉鸡了,比较悲惨,直接飞向IDC机房,防火墙显示这个APP服务器tcp连接很多每秒10W个,
从服务器上使用命令sar -n DEV 2 10 ,确实出现大量发包的问题,(下边是正常的,异常的情况eth0txpck/s 10000左右了)



先进行限速或者拔掉网线:
开始之前,先要清除 eth0所有队列规则
tc qdisc del dev eth0 root 2> /dev/null > /dev/null

1) 定义最顶层(根)队列规则,并指定 default 类别编号
tc qdisc add dev eth0 root handle 1: htb default 20
tc class add dev eth0 parent 1: classid 1:20 htb rate 2000kbit

(1KB/s = 8KBit/s)

TC命令格式:
tc qdisc [ add | change | replace | link ] dev DEV [ parent qdisc-id | root ] [ handle qdisc-id ] qdisc [ qdisc specific parameters ]
tc class [ add | change | replace ] dev DEV parent qdisc-id [ classid class-id ] qdisc [ qdisc specific parameters ]
tc filter [ add | change | replace ] dev DEV [ parent qdisc-id | root ] protocol protocol prio priority filtertype [ filtertype specific parameters ] flowid flow-id

显示
tc [-s | -d ] qdisc show [ dev DEV ]
tc [-s | -d ] class show dev DEV tc filter show dev DEV

查看TC的状态
tc -s -d qdisc show dev eth0
tc -s -d class show dev eth0

删除tc规则

tc qdisc del dev eth0 root

查看状态:
top
CPU和MEM都正常,看不出异常的进程。

yum install -y tcpdump
tcpdump -nn
找到大量的IP地址

本机(192.168.35.145)和主机114.114.110.110之间的数据
tcpdump -n -i eth0 host 192.168.35.145 and 114.114.110.110
还有截取全部进入服务器的数据可以使用以下的格式
tcpdump -n -i eth0 dst 192.168.35.145

或者服务器有多个IP 可以使用参数
tcpdump -n -i eth0 dst 192.168.35.145  or  192.168.35.155

我们抓取全部进入服务器的TCP数据包使用以下的格式,大家可以参考下
tcpdump -n -i eth0 dst 192.168.35.145 or 192.168.35.155 and tcp

从本机出去的数据包
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155 and port ! 22 and tcp
或者可以条件可以是or  和 and  配合使用即可筛选出更好的结果。

可以将异常IP加入到/etc/hosts.deny中,或者防火墙设置下

之后安装个NetHogs
Install Howto:
    Download the latest epel-release rpm from (一个是32位、一个是64位连接)
    http://dl.fedoraproject.org/pub/epel/6/i386/
    http://dl.fedoraproject.org/pub/epel/6/x86_64/

    Install epel-release rpm:
    # rpm -Uvh epel-release*rpm(记得yum clean all和yum makecache下)

    Install nethogs rpm package:
    # yum install nethogs

执行nethogs
nethogs
或者
nethogs eth0
如果网卡绑定过nethogs bond0

-------------------------
rpm -Uvh epel-release-6-8.noarch64.rpm
yum clean all
yum makecache
yum install nethogs
nethogs
--------------------------



下图显示各进程当前网络使用情况:


按“m”键可以切换到统计视图,显示各进程总的网络使用情况


按“Ctrl+C”或“q”退出监控

使用帮助:
    [root@localhost ~]# nethogs --help  
    nethogs: invalid option -- '-'  
    usage: nethogs [-V] [-b] [-d seconds] [-t] [-p] [device [device [device ...]]]  
            -V : 显示版本信息,注意是大写字母V.  
            -d : 延迟更新刷新速率,以秒为单位。默认值为 1.  
            -t : 跟踪模式.  
            -b : bug 狩猎模式 — — 意味着跟踪模式.  
            -p : 混合模式(不推荐).  
            设备 : 要监视的设备名称. 默认为 eth0  
      
    当 nethogs 运行时, 按:  
     q: 退出  
     m: 总数和当前使用情况模式之间切换 

找到大量发包的进程,之后kill掉,在排查下这个进程是什么程序,文件路径在哪里,删除掉异常的文件。

目前问题解决了,观察一段时间,看看问题是否还会发生,防火墙将公网IP进行了访问限制,只允许办公地点访问,增加安全。


TURING.DT
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux环境Socket发包工具
05-24
5. **日志记录**:记录发送过程中的信息,便于排查问题和分析结果。 6. **多线程或异步处理**:支持同时向多个服务器发送请求,提高测试效率。 在实际使用中,这样的工具可以帮助我们验证络服务的XML数据处理逻辑...
伟伟专用服务器发包工具集
09-18
总的来说,"伟伟专用服务器发包工具集"是一个全面的解决方案,它集合了多种实用工具,覆盖了服务器管理的多个方面,无论是在日常维护还是在特定场景下进行问题排查,都能发挥出其强大效能。使用这样的工具集,不仅...
linux查看服务进程发包,11月18日linux服务器后,服务器向外发包,CPU达99%以上
weixin_39847437的博客
04-28 361
netstat-an对系统开启的端口进行检查ps –ef查看liunx进程more/var/log/secure安全信息和系统登录与络连接的信息/var/log/wtmp记录登录者讯录,二进制文件,须用last来读取内容/etc/shadow系统密码文件,以*和!开头的是不作为登录的密码的账户/var/log/messages系统报错日志who -u/var/log/wtmp查看信息/var/l...
Linux不停往外发
weixin_30819163的博客
05-22 384
一台Linux这两天不停往外发包,造成外部无法访问。 [root@ct-nat ~]# watch ifconfig-------------查看数据包新增情况 Every 2.0s: ifconfig ...
centos7数据包转发开启
最新发布
05-18 241
4 141服务器禁用防火墙 systemctl stop firewalld ,或者修改iptables加规则.如果不做这条只能ping 不能访问服务.3 0.222添加静态路由,route add 192.168.4.0 mask 255.255.255.0 192.168.0.141。1 临时启用 echo 1 >/proc/sys/net/ipv4/ip_forward。2 永久启用 vi /etc/sysctl.conf 写入。centos服务器一台.多卡。
一次处理CentOS服务器被攻击往外发广播包
weixin_33786077的博客
03-14 222
 情况是这样:我们在某地托管的一台linux服务器,突然接到机房电话说是我们机器将整个IDC络搞瘫了。外部机器没法访问IDC。  挂掉电话后:我就开始考虑,托管机器的机房是有硬防的,我本身一台机器怎么会造成这么大影响。于是又联系机房硬防厂家询问状况,最后得到的答复是我托管的    服务器往外发广播消息,将机房硬防会话都沾满了,其它设备就没有可用会话了。         处理:   情...
windows 2003服务器不断向外发包解决方法 php程序
weixin_34167819的博客
05-20 347
服务器不断向外发包解决方法 php程序 iis重启后,站正常,过一段时间,服务器的上传流量占满 在c:\windows\php.ini里设置: disable_functions =gzinflate; 在c:\windows\php.ini里设其值为Off allow_url_fopen = Off 并且: ;extensio...
linux查看对外请求的进程,linux通过shell查看apache或nginx当前httpd并发进程数,以及当前请求各项数据处理状态...
weixin_28917337的博客
04-29 1091
# ps -ef | grep httpd | wc -l# ps -ef | grepnginx | wc -l此方法会返回apache或nginx当前能够处理并发处理请求个数。# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a,S[a]}'此方法会返回服务器各端口络链接情况,例如:LAST_ACK 73SYN_REC...
Linux如何查看某个进程收发包的数量
耕云者~
11-29 5723
工作中定位排查一些问题,记录在此,积累经验。 背景简述 有两台机器之间络不佳,影响上面的主从服务同步。使用ping命令简单测试之后发现,同一AZ(可用区)下的时延竟然有100多ms,正常情况下应该在1ms以内。 之前没遇到过这样的情况,联系络组的同事,通过监控发现两台机器的pps(Packet Per Second)很高,超过限制,被限流了,所以这两台机器之间的时延很大。 那怎么找到造成pps升高的进程呢? 实操小结 使用iftop -P命令,可以看到机器上各个端口之间的流量情况,可以定位到对应的进程
前端项目快速发包linux-sh脚本(含压缩、解压、备份、部署)
06-26
7. **日志记录**:脚本运行过程中的每一步都应记录在日志文件中,以便于问题排查。可以使用`echo`命令输出信息并重定向至日志文件,如`echo "Deployment started" >> deploy.log`。 8. **错误处理**:良好的脚本应...
TCPUDP发包.rar
06-27
- **避免滥用**:频繁或大量发包可能导致目标服务器过载,也可能使你的络服务受到限制。 - **安全考虑**:保护好自己的设备,不要在不安全的络环境中使用发包工具,防止数据泄露。 总之,TCP和UDP协议各有特点...
linux发包工具
05-03
4. **故障排查**:通过重放问题发生时的数据包,重现问题,便于诊断和修复。 总的来说,tcpreplay是一个强大且灵活的工具,对于任何需要在络环境中进行流量模拟或故障排查的IT专业人士来说,都是必不可少的。通过...
linux 绑定卡发送数据,多队列卡简介以及Linux通过卡发送数据包源码解读...
weixin_39927993的博客
05-02 426
首先我们看一下一个主流多队列卡(E1000)跟多核CPU之间的关系图: 非多队列:linux卡由结构体net_device表示,一个该结构体对应一个可以调度的数据包发送队列。数据包的实体在内核中以结构体sk_buff(skb),形如: 多队列:一个卡可以拥有多个队列 接下来,看看TX引擎是如何工作的(注:对于发送和接收数据包有两个名词,分别应对TX,RX) 注:TXQ代表卡中的队列。解释...
Linux开启snmp监控后大量 Received SNMP packet(s) from UDP
weixin_34417635的博客
10-22 393
Linux服务器可以很方便地开启snmpd监控,但是经常查看日志的管理员会发现,默认情况下/var/log/message中会生成大量的SNMPD的日志:Jul109:50:04doghousesnmpd[4159]:ConnectionfromUDP:[10.0.1.10]:59768Jul109:50:05doghouse...
控制linux对外发包php,如何实现CentOS不停向外发包
weixin_29324877的博客
03-22 116
如何实现CentOS不停向外发包服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:1.1 工具/原料Linux系统病毒文件libudev.so1.2 方法/步...
记录解决Redhat服务器疯狂往外发问题
weixin_34248705的博客
05-26 172
最近发现办公室络不畅通,访问页很慢,而且访问内站也慢。通过排查,有一台redhat系统的服务器有异常,疯狂往外发数据 包,关闭该服务器络恢复正常,一启用,络又出问题 登陆该服务,执行last 从用户登录历史查看 有以下几个可疑ip 58.51.95.75 Mon May 14 20:59 - 21:04 (00:04) 来自 湖北省襄...
Linux查找对外发出的http请求来自哪个进程
yu980219的博客
05-29 1462
公司的生产环境linux,近日报警,在不断地向一个海外IP发出请求,有严重的安全问题,要求我们查一下。
linux 络流量暴增,linux络流量监控
weixin_30742297的博客
05-06 217
-,工作站上搭建yum环境[root@zhaoyun~]# yum install net-snmp安装一个管协议snmp[root@zhaoyun~]# yum install mrtg -y监控软件[root@zhaoyun~]# yum install httpd -y由于要在页显示,所以安装http服务器这三个要必须安装二,安装后就可以在被管设备安装snmp了,我要监控的是一台linu...
windows c语言使用mosquitto向服务器免密发包
06-02
要在使用C语言的Windows程序中使用mosquitto库向MQTT服务器发送消息,您需要先在Windows上安装mosquitto库和相关的开发包。然后,您可以使用以下步骤来向MQTT服务器发送消息: 1. 引入mosquitto库和相关的头文件; 2. 初始化mosquitto库; 3. 连接MQTT服务器; 4. 发布消息; 5. 断开MQTT服务器连接; 6. 释放mosquitto库资源。 下面是一个简单的示例代码,可以帮助您了解如何使用mosquitto库向MQTT服务器发送消息: ```c #include <stdio.h> #include <mosquitto.h> int main() { int rc; struct mosquitto *mosq = NULL; // 初始化mosquitto库 mosquitto_lib_init(); // 创建mosquitto客户端实例 mosq = mosquitto_new(NULL, true, NULL); if(mosq == NULL){ printf("Error: Out of memory.\n"); return 1; } // 连接MQTT服务器 rc = mosquitto_connect(mosq, "localhost", 1883, 60); if(rc != MOSQ_ERR_SUCCESS){ printf("Error: Could not connect to MQTT server.\n"); mosquitto_destroy(mosq); mosquitto_lib_cleanup(); return 1; } // 发布消息 rc = mosquitto_publish(mosq, NULL, "topic", strlen("message"), "message", 0, false); if(rc != MOSQ_ERR_SUCCESS){ printf("Error: Could not publish message.\n"); mosquitto_disconnect(mosq); mosquitto_destroy(mosq); mosquitto_lib_cleanup(); return 1; } // 断开MQTT服务器连接 mosquitto_disconnect(mosq); // 释放mosquitto库资源 mosquitto_destroy(mosq); mosquitto_lib_cleanup(); return 0; } ``` 请注意,您需要根据自己的MQTT服务器地址和端口号修改代码中的连接信息,以及根据自己的需求修改代码中的主题和消息内容。此外,如果您的MQTT服务器需要用户名和密码进行认证,则可以使用mosquitto_username_pw_set()函数设置用户名和密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值