带宽跑满或跑高的分析处理
对于正常进程导致的带宽跑满或跑高的问题,需要对服务器的带宽进行升级。对于异常进程,有可能是由于恶意程序问题,或者是部分 IP 恶意访问导致,也可能是服务遭到了 CC 攻击。
通常情况下,您可以使用 iftop 工具或 nethogs 查看流量的占用情况,进而定位到具体的进程。
使用 iftop 工具排查具体占用流量的IP和端口
1、服务器内部安装 iftop 流量监控工具:
yum install iftop -y
2、服务器外网带宽被占满时,如果通过远程无法登陆,可通过阿里云终端管理进入到服务器内部,运行下面命令查看流量占用情况:
iftop -i eth0 -P -n
按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量,左右箭头,表示的是流量的方向;
按h切换是否显示帮助;
按n切换显示本机的IP或主机名;
按T切换是否显示每个连接的总流量;
按1或2或3( 分别2s 10s 40s)可以根据右侧显示的三列流量数据进行排序;
按s切换是否显示本机的host信息;
按d切换是否显示远端目标主机的host信息;
按N切换显示端口号或端口服务名称;
按S切换是否显示本机的端口信息;
按D切换是否显示远端目标主机的端口信息;
按p切换是否显示端口信息;
按P切换暂停/继续显示;
按b切换是否显示平均流量图形条;
按B切换计算2秒或10秒或40秒内的平均流量;
按l打开屏幕过滤功能,输入要过滤的字符,比如ip,按回车后,屏幕就只显示这个IP相关的流量信息;
按L切换显示画面上边的刻度;刻度不同,流量图形条会有变化;
按j或按k可以向上或向下滚动屏幕显示的连接记录;
按<根据左边的本机名或IP排序;
按>根据远端目标主机的主机名或IP排序;
按o切换是否固定只显示当前的连接;
按f可以编辑过滤代码;
按!可以使用shell命令;
按q退出监控;
注:-P 参数会将请求服务的端口显示出来,也就是说是通过服务器哪个端口建立的连接,看内网流量执行 iftop -i eth0 -P 命令(如果实例类型是经典网络的,则通过 iftop -i eth0 -P -n 命令进行查看公网网卡的 流量 ,如果服务器是经典网络的 则通过 ifup -i eth1 -P -n 进行查看)。
在上图中,您可以查看到流量高耗的是服务器上 53139 端口和 115.205.150.235 地址建立的连接,服务器的带宽是1M的,出网峰值可以达到大概 1.17Mb。
TX:发送流量
RX:接收流量
TOTAL:总流量
Cumm:运行iftop到目前时间的总流量
peak:流量峰值
rates:分别表示过去 2s 10s 40s 的平均流量
根据外网ip 占用服务器带宽的 情况,可以分辨出哪个 ip占用的 带宽比较高。这样就可以针对该ip 做下限制了。例如通过系统防火墙或者是 ecs 自带的安全组都是可以的。
3、.执行 netstat 命令反查 53139 端口对应的进程。
netstat -tunlp |grep 53139
4、经反查,服务器上 vsftpd 服务产生大量流量,您可以通过停止服务或使用 iptables 服务来对指定地址进行处理,如屏蔽 IP 地址或限速,以保证服务器带宽能够正常使用。
到这里,Linux/Centos服务器带宽异常跑满的问题已经被解决,阿里云流量监控恢复正常。