HostFind

Есть сервер в мастерхосте. Трафик предоставляется бесплатно при условии, что российский больше зарубежного, а исходящий больше входящего в 4 раза.
В сутки обычно раньше было
Исходящего 120 Гб (Российский 60%)
Входящего 12 Гб (Российский 60%)

Только что в панели управления мастерхоста обнаружил нарушение соотношения по трафику.

За последние 2 дня по статистике в панели управления мастерхоста исходящий не изменился.
Но входящего стало 62 Гб в сутки(Российский 11%)

То есть получил около 50 Гб входящего зарубежного трафика в сутки.
Написал в суппорт. Они сказали, что могут лишь отрубить весь зарубежный трафик.

На сервере стоит Linux debian ядро 2.4.29
Торможений в работе сайта не заметил.
В данное время большого зарубежного трафика уже нет, то есть если это была атака, то она закончилась.

Нашел странный скачок трафика в логах сетевой карты сервера сегодня в 14:35
Данные команды sar -n DEV

Код: выделить все

                      IFACE   rxpck/s    txpck/s    rxbyt/s      txbyt/s          rxcmp/s    txcmp/s   rxmcst/s
14:15:02         eth0    2231.71    2284.93   424077.57  2268779.79      0.00        0.00      0.00
14:25:01         eth0    2287.64    2376.53   399741.08  2513454.51      0.00        0.00      0.00
14:35:01         eth0    5734391.54 5852661.08 3047116.00 2343839.53  0.00      0.00      0.00
14:45:04         eth0    2255.90    2351.08   389081.00  2481800.62      0.00        0.00      0.00


То есть в обычное время происходит прием около 2200 пакетов в секунду, то в 14:35 происходил прием 5 734 391 пакетов в секунду. Увеличение количества пакетов в 2500 раз!!!

Вопросы.
1. Кто ни будь с этим сталкивался? Что это могло быть?
2. Какие технические меры можно предпринять для поиска и устранения причин этого? Подскажите какими командами Linux можно еще поискать причину этого?

1. Флуд/дос
2. Настроить файр + пропатчить ядро

вот вам российские дц, как только ддос, так сразу счет в конце месяца.

по крайней мере тут никто денег не просит если используешь 95 мегабит постоянно на сервере выполняя соотношения.

на западе (есть конечно исключения, но это не ширпотреб провайдеры) такого не дают

во многих дц "паразитный" трафик не учитывают. для списания трафика нужно отправить логи по трафу в суппорт.
В качестве защиты првильно настроить фаервол + установить ПО для блокировки открытием с одного ip более 1-100 коннектов.

извиняюсь за оффтоп, с российскими дц общения не имел. вопрос по этому:

prohost писал(а): российский больше зарубежного, а исходящий больше входящего в 4 раза.

правильно ли я понимаю что:
сервер, прокачивающий 10тб российского трафика и скажем 5 зарубежного, при этом входящего в сумме 13 тб а исходящего - 2 - такой сервер ничего не нарушает.
а сервер с 1 гб зарубежного и 900мб российского - уже нарушитель, или с 200 мб входящего российского и 100 мб исходящего - тоже?

не вижу логики.. ведь если есть правило соотношений - то сервер, их соблюдающий, может прилично загружать сеть, занимая десятки мегабит канала, а другой, рядом - потреблять свой десяток килобит, но с неправильным соотношением. или я что-то упустил?

угу. именно так и есть.

Ну тут действительно лажа какаято
1 возможно действительно досили
2 Другими способоми пытались "ложить" сайт
3 глянь все свои страници, возможно у тебя "крадут" траф. Да да "КРАДУТ"
Это делается примерно так на твоём сайте "вешается ссылочка" на какой-нибудь картинке люди заходя смотрят сайт а картинка то не там где ты думаеш. Короч долго оъбяснть просто советую проверить полностью свой сайт. Возможно им "пользуются".