Наплыв входящего зарубежного трафика на сервер. Что делать?

Конфигурация хостинг аккаунтов, полезные скрипты, настройка серверов, защита от взлома

Модератор: Imperator

Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение prohost » Чт янв 03, 2008 1:02 am

Есть сервер в мастерхосте. Трафик предоставляется бесплатно при условии, что российский больше зарубежного, а исходящий больше входящего в 4 раза.
В сутки обычно раньше было
Исходящего 120 Гб (Российский 60%)
Входящего 12 Гб (Российский 60%)

Только что в панели управления мастерхоста обнаружил нарушение соотношения по трафику.

За последние 2 дня по статистике в панели управления мастерхоста исходящий не изменился.
Но входящего стало 62 Гб в сутки(Российский 11%)

То есть получил около 50 Гб входящего зарубежного трафика в сутки.
Написал в суппорт. Они сказали, что могут лишь отрубить весь зарубежный трафик.

На сервере стоит Linux debian ядро 2.4.29
Торможений в работе сайта не заметил.
В данное время большого зарубежного трафика уже нет, то есть если это была атака, то она закончилась.

Нашел странный скачок трафика в логах сетевой карты сервера сегодня в 14:35
Данные команды sar -n DEV
Код: выделить все
                      IFACE   rxpck/s    txpck/s    rxbyt/s      txbyt/s          rxcmp/s    txcmp/s   rxmcst/s
14:15:02         eth0    2231.71    2284.93   424077.57  2268779.79      0.00        0.00      0.00
14:25:01         eth0    2287.64    2376.53   399741.08  2513454.51      0.00        0.00      0.00
14:35:01         eth0    5734391.54 5852661.08 3047116.00 2343839.53  0.00      0.00      0.00
14:45:04         eth0    2255.90    2351.08   389081.00  2481800.62      0.00        0.00      0.00

То есть в обычное время происходит прием около 2200 пакетов в секунду, то в 14:35 происходил прием 5 734 391 пакетов в секунду. Увеличение количества пакетов в 2500 раз!!!

Вопросы.
1. Кто ни будь с этим сталкивался? Что это могло быть?
2. Какие технические меры можно предпринять для поиска и устранения причин этого? Подскажите какими командами Linux можно еще поискать причину этого?
prohost
 
Сообщений: 24
Зарегистрирован: Сб дек 29, 2007 7:05 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение proff » Чт янв 03, 2008 1:04 am

1. Флуд/дос
2. Настроить файр + пропатчить ядро
proff
 
Сообщений: 14
Зарегистрирован: Сб дек 29, 2007 7:03 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение WebDesk » Чт янв 03, 2008 1:06 am

вот вам российские дц, как только ддос, так сразу счет в конце месяца.
WebDesk
 
Сообщений: 16
Зарегистрирован: Сб дек 29, 2007 7:06 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение proff » Чт янв 03, 2008 1:07 am

по крайней мере тут никто денег не просит если используешь 95 мегабит постоянно на сервере выполняя соотношения.

на западе (есть конечно исключения, но это не ширпотреб провайдеры) такого не дают 8-)
proff
 
Сообщений: 14
Зарегистрирован: Сб дек 29, 2007 7:03 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение WebDesk » Чт янв 03, 2008 1:08 am

во многих дц "паразитный" трафик не учитывают. для списания трафика нужно отправить логи по трафу в суппорт.
В качестве защиты првильно настроить фаервол + установить ПО для блокировки открытием с одного ip более 1-100 коннектов.
WebDesk
 
Сообщений: 16
Зарегистрирован: Сб дек 29, 2007 7:06 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение ZloyKvoter » Чт янв 03, 2008 1:11 am

извиняюсь за оффтоп, с российскими дц общения не имел. вопрос по этому:
prohost писал(а): российский больше зарубежного, а исходящий больше входящего в 4 раза.

правильно ли я понимаю что:
сервер, прокачивающий 10тб российского трафика и скажем 5 зарубежного, при этом входящего в сумме 13 тб а исходящего - 2 - такой сервер ничего не нарушает.
а сервер с 1 гб зарубежного и 900мб российского - уже нарушитель, или с 200 мб входящего российского и 100 мб исходящего - тоже?

не вижу логики.. ведь если есть правило соотношений - то сервер, их соблюдающий, может прилично загружать сеть, занимая десятки мегабит канала, а другой, рядом - потреблять свой десяток килобит, но с неправильным соотношением. или я что-то упустил?
ZloyKvoter
 
Сообщений: 21
Зарегистрирован: Сб дек 29, 2007 6:59 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение WebDesk » Чт янв 03, 2008 1:12 am

угу. именно так и есть.
WebDesk
 
Сообщений: 16
Зарегистрирован: Сб дек 29, 2007 7:06 pm

Re: Наплыв входящего зарубежного трафика на сервер. Что делать?

Сообщение Hellsing » Пт янв 04, 2008 1:24 pm

Ну тут действительно лажа какаято
1 возможно действительно досили
2 Другими способоми пытались "ложить" сайт
3 глянь все свои страници, возможно у тебя "крадут" траф. Да да "КРАДУТ"
Это делается примерно так на твоём сайте "вешается ссылочка" на какой-нибудь картинке люди заходя смотрят сайт а картинка то не там где ты думаеш. Короч долго оъбяснть просто советую проверить полностью свой сайт. Возможно им "пользуются".
Hellsing
 
Сообщений: 33
Зарегистрирован: Сб дек 29, 2007 9:19 am


Вернуться в Технические аспекты и вопросы безопасности

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron