কীভাবে বা কীভাবে আমার ব্যান্ডউইথ ব্যবহার করছে তা সন্ধান করবেন?

17

সত্যি কথা বলতে কি, আমি সার্ভার প্রশাসনে দুর্বল, তবে আমার বস আমাকে সাহায্য চেয়েছিলেন। তার সার্ভারটির 2 জিবি / দিনের সীমাবদ্ধ ব্যান্ডউইথ রয়েছে এবং আজ তিনি সংস্থার কাছ থেকে সতর্কতা পেয়েছেন যে তিনি এটি ছাড়িয়ে গিয়েছেন এবং 24 জিবি ব্যবহার করেছেন।

যেহেতু এটি অসম্ভব কারণ তিনি পথিমধ্য ছিলেন, তিনি আমাকে জিজ্ঞাসা করেছিলেন আমি সমস্যার সমাধান করতে পারি কিনা। কোথা থেকে শুরু করব বা কী করব সে সম্পর্কে আমার কোনও ধারণা নেই।

কোনও তথ্য কীভাবে ভুল তা আমি কীভাবে খুঁজে পেতে পারি তা সহায়ক হবে।

মেশিনটি উবুন্টু 12.04 এ চলছে। সবচেয়ে কৌতূহলোদ্দীপক বিষয়টি হ'ল হোস্টারের কাছ থেকে প্রাপ্ত চিত্র অনুযায়ী, কেবলমাত্র বহির্গামী স্থানান্তর ব্যবহৃত হত।

সম্পাদনা

পরামর্শের জন্য ধন্যবাদ, আমি tcpdump চালাব এবং ফলাফলটি পরীক্ষা করার চেষ্টা করব

linux  ubuntu 
কামিল
সূত্র
আপনার প্রশ্নের মূল হিসাবে নয়, একটি মন্তব্য হিসাবে আপনার মন্তব্য পোস্ট করুন।
EEAA
এখানে আমার প্রশ্ন, আমি কি পটভূমিতে tcpdump চালাতে পারি, তাই এটি কোনও দিন বলতে দেওয়া থেকে ডেটা সংগ্রহ করতে পারে?
কামিল
আপনি করতে পারেন, হ্যাঁ। আপনার এটি কোনও স্ক্রিন সেশন বা এর মতো কিছু থেকে চালানো দরকার । সতর্কতা অবলম্বন করুন ... যদিও আপনার ক্যাপচার হওয়া সমস্ত ডেটা সঞ্চয় করার জন্য পর্যাপ্ত ডিস্ক রয়েছে তা নিশ্চিত করতে হবে। আপনাকে সম্ভবত tcpdumpম্যান পৃষ্ঠাটি পড়তে হবে এবং কেবলমাত্র টিসিপি / আইপি শিরোনামগুলি ক্যাপচার করতে এটি কীভাবে কনফিগার করতে হবে তা দেখতে হবে এবং বাকী প্যাকেটের ডেটা বাদ দিয়ে।
EEAA
কোয়ান্টা

উত্তর:

18

তাত্ক্ষণিক পর্যবেক্ষণের জন্য আপনি আইফোট ব্যবহার করতে পারেন । এটি আপনাকে বর্তমানে সক্রিয় সংযোগ এবং তারা যে ব্যান্ডউইথ ব্যবহার করছে তা দেখায়। একবার আপনি কোনও উচ্চ ট্র্যাফিক সংযোগ শনাক্ত করার পরে, স্থানীয় বন্দর নম্বরটি সন্ধান করুন এবং netstatসংযোগটি কোন প্রক্রিয়াভুক্ত তা আবিষ্কার করতে ব্যবহার করুন ।

sudo netstat -tpn | grep 12345

দীর্ঘমেয়াদী পর্যবেক্ষণের জন্য আমি ডার্কস্ট্যাটের মতো কিছু প্রস্তাব করব । এটি আপনাকে প্রতি হোস্ট এবং পোর্টের জন্য একটি ব্রেকডাউন দিতে পারে যা ট্রাফিকের সাথে কী সম্পর্কিত তা নির্ধারণ করতে পারে।

mgorven
সূত্র
1
iotop? নাকি আপনি আইফটপ নিয়ে ভাবছিলেন ?
EEAA
@ এরিকা উহ, হ্যাঁ .. আমি যা বলেছিলাম!
এমজিগর্ভেন
7

আমি এনটপ ইনস্টল করার পরামর্শ দিই।

http://www.ntop.org/

এটি কোনও হোস্ট গেটওয়ে / রাউটারের অবস্থানের উপর রাখুন এবং একদিন / সপ্তাহের জন্য ট্র্যাফিক দেখুন। এনটপ একটি ওয়েব ইউআই সরবরাহ করে যেখানে আপনি আইপি / পোর্ট / প্রোটোকল দ্বারা ব্রেকডাউন পেতে পারেন।

dmourati
সূত্র
2

ভাল, একটি প্যাকেট ক্যাপচার সাধারণত এই জাতীয় পরিস্থিতিতে শুরু প্রথম স্থান। নিশ্চিত করুন যে tcpdump ইনস্টল করা আছে ( $ sudo apt-get install tcpdump) এবং তারপরে নিম্নলিখিতটি চালান:

$ sudo tcpdump -w packet.log

এটিতে সমস্ত প্যাকেটের লগ লিখবে packet.log। এটি কয়েক মিনিটের জন্য চলুক, তারপরে সেই ফাইলটি ডাউনলোড করুন এবং ওয়্যারশার্ক ব্যবহার করে পরিদর্শন করুন । যদি রহস্য ট্র্যাফিকটি এখনও ঘটে থাকে তবে প্যাকেট ক্যাপচার ডেটার মাধ্যমে এটি একটি স্পষ্ট নজরদারি সহ বেশ স্পষ্ট হওয়া উচিত।

EEAA
সূত্র
ওয়্যারশার্ক ব্যবহার করে স্ট্যাটিসটিক্স মেনু - শেষ পয়েন্ট ব্যবহার করুন। তারপরে আপনি আইপি বা টিসিপি বা অন্যান্য তালিকা নির্বাচন করতে পারেন এবং প্রতিটি শেষ পয়েন্ট দ্বারা প্রাপ্ত / প্রেরিত পরিমাণ অনুসারে বাছাই করতে পারেন। যেখানে শেষপয়েন্টটি হবে আইপি ঠিকানা বা মেশিন। তবে কিছু শেষ পয়েন্টগুলি গেটওয়ে বা স্যুইচ হতে পারে তাই ব্যান্ডউইথ ব্যবহারকারীকে ট্র্যাক করতে সেই গেটওয়েতে আরও একটি টিসিপিডম্প এবং ওয়্যারশার্ক করতে হবে।
গায়েথ
2

Tcpdump এ দেখুন । এটি সমস্ত নেটওয়ার্ক ট্র্যাফিককে ডাম্প করতে পারে (কেবলমাত্র নামের হিসাবে টিসিপি নয়), যা আপনি তারপরে ওয়্যারশার্কের মতো অ্যাপ্লিকেশন সহ পড়তে পারেন। ওয়্যারশার্কে নির্দিষ্ট ধরণের ডেটা এবং এমনকি I / O নেটওয়ার্কের প্লট গ্রাফগুলি ফিল্টার করা খুব সহজ।

আর একটি দরকারী সরঞ্জাম নেটস্ট্যাট হতে পারে যা চলমান নেটওয়ার্ক সংযোগগুলির একটি তালিকা প্রদর্শন করে। সম্ভবত এমন সংযোগ রয়েছে যা সেখানে থাকা উচিত নয়। Tcpdump আরও কার্যকর (কয়েক মিনিট ক্যাপচার করুন, তবে আপনি ইতিমধ্যে উত্সটি দেখতে পাচ্ছেন কিনা তা পরীক্ষা করে দেখুন), তবে নেটস্যাট আপনাকে দ্রুত ওভারভিউ দিতে পারে।

এইভাবে পড়ার পরে, আমার প্রথম চিন্তাগুলি হ'ল আপনার সার্ভারে আপনার ম্যালওয়ার রয়েছে বা এটি প্রশস্তকরণের আক্রমণে ব্যবহৃত হচ্ছে। তবে এটি পরীক্ষা করতে আপনাকে প্রথমে tcpdump চালাতে হবে।

সম্পাদনা: নোট করুন tcpdump সম্ভবত সম্ভবত চালানো প্রয়োজন, সম্ভবত আপনার ব্যবহার করা প্রয়োজন sudo tcpdump

অন্য সম্পাদনা: যেহেতু সাধারণভাবে প্রশস্তকরণের আক্রমণগুলি কী তা সংযুক্ত করার জন্য আমি কোনও ভাল ওয়েবপৃষ্ঠাটি খুঁজে পাচ্ছি না, এখানে একটি সংক্ষিপ্ত সংস্করণ রয়েছে:

ডিএনএসের মতো প্রোটোকল ইউডিপিতে চালিত হয়। ইউডিপি ট্র্যাফিক সংযোগহীন, এবং এইভাবে আপনি খুব সহজেই অন্য কারও আইপি ঠিকানা ছদ্মবেশী করতে পারেন। একটি ডিএনএস উত্তর সাধারণত ক্যোয়ারির চেয়ে বড় হয়, এটি কোনও ডস আক্রমণে ব্যবহার করা যেতে পারে। আক্রমণকারী একটি প্রদত্ত নামের সাথে ডিএনএস সার্ভারের সমস্ত রেকর্ডের অনুরোধ করে একটি কোয়েরি প্রেরণ করে এবং ডিএনএস সার্ভারকে বলে যে অনুরোধটি এক্স থেকে উত্পন্ন হয়েছিল This ডিএনএস সার্ভার তারপরে দয়া করে উত্তর দিন, এক্সকে উত্তর (বড়, 4 কেবি) প্রেরণ করুন replies

এটি প্রশস্তিকরণ কারণ আক্রমণকারী এক্স এক্স প্রাপ্তির চেয়ে কম ডেটা প্রেরণ করে। ডিএনএস একমাত্র প্রোটোকল নয় যার সাহায্যে এটি সম্ভব।

লুক
সূত্র
1
হ্যাঁ. tcpdump -i any -w /tmp/traffic.pcap। ওয়্যারশার্ক ব্যবহার করে স্ট্যাটিসটিক্স মেনু - শেষ পয়েন্ট ব্যবহার করুন। প্রাপ্ত / প্রেরিত পরিমাণ অনুসারে বাছাই করুন।
গায়েথ
2

এর সর্বোত্তম সরঞ্জামটি সম্ভবত আইফটপ এবং সহজেই sudo apt-get ইনস্টল iftop এর মাধ্যমে অ্যাপটি-গেটেবল। এটি অপরাধীর আইপি / হোস্টনাম অনুসারে আউটপুট প্রদর্শন করবে:

             191Mb      381Mb                 572Mb       763Mb             954Mb
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local            => box-2.local                      91.0Mb  27.0Mb  15.1Mb
                      <=                                  1.59Mb   761kb   452kb
box4.local            => box.local                         560b   26.8kb  27.7kb
                      <=                                   880b   31.3kb  32.1kb
box4.local            => userify.com                         0b   11.4kb  8.01kb
                      <=                                  1.17kb  2.39kb  1.75kb
box4.local            => b.resolvers.Level3.net              0b     58b    168b
                      <=                                     0b     83b    288b
box4.local            => stackoverflow.com                   0b     42b     21b
                      <=                                     0b     42b     21b
box4.local            => 224.0.0.251                         0b      0b    179b
                      <=                                     0b      0b      0b
224.0.0.251           => box-2.local                         0b      0b      0b
                      <=                                     0b      0b     36b
224.0.0.251           => box.local                           0b      0b      0b
                      <=                                     0b      0b     35b


─────────────────────────────────────────────────────────────────────────────────
TX:           cum:   37.9MB   peak:   91.0Mb     rates:   91.0Mb  27.1Mb  15.2Mb
RX:                  1.19MB           1.89Mb              1.59Mb   795kb   486kb
TOTAL:               39.1MB           92.6Mb              92.6Mb  27.9Mb  15.6Mb

পুরানো * নিক্সে ক্লাসিক এবং শক্তিশালী সর এবং নেটস্যাট ইউটিলিটিগুলি সম্পর্কে ভুলে যাবেন না!

আর একটি দুর্দান্ত সরঞ্জাম হ'ল নলড , রিয়েল টাইমে ব্যান্ডউইদথকে পর্যবেক্ষণ করার জন্য একটি দুর্দান্ত সরঞ্জাম এবং সহজেই উডুন্টু বা ডেবিয়ানে সুডো এপ-গেট ইনস্টল নোড সহ ইনস্টল করা আছে।

Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:


                               .         ...|
                               #         ####|
                           .. |#|  ...   #####.         ..          Curr: 2.07 MBit/s
                          ###.###  #### #######|.     . ##      |   Avg: 1.41 MBit/s
                         ########|#########################.   ###  Min: 1.12 kBit/s
             ........    ###################################  .###  Max: 4.49 MBit/s
           .##########. |###################################|#####  Ttl: 1.94 GByte
Outgoing:
            ##########  ###########    ###########################
            ##########  ###########    ###########################
            ##########. ###########   .###########################
            ########### ###########  #############################
            ########### ###########..#############################
           ############ ##########################################
           ############ ##########################################
           ############ ##########################################  Curr: 63.88 MBit/s
           ############ ##########################################  Avg: 32.04 MBit/s
           ############ ##########################################  Min: 0.00 Bit/s
           ############ ##########################################  Max: 93.23 MBit/s
         ############## ##########################################  Ttl: 2.49 GByte
জেমিসন বেকার
সূত্র
1

বেশ কিছুক্ষণ অনুসন্ধান করার পরে কী সমস্যা হয়েছে (কয়েক দিনের মধ্যে GB০ গিগাবাইট ব্যান্ডউইথেরও বেশি) আমি আবিষ্কার করেছি যে আমার সার্ভারটি একটি ডিডিওএস আক্রমণের উত্স।

প্রথমত, আমি এটিতে ওরাকল ডিবি ইনস্টল করার চেষ্টা করেছি, তাই আমি ওরাকল ব্যবহারকারী তৈরি করেছি। হ্যাকাররা কোনওভাবে সেই ব্যবহারকারীর জন্য পাসটি ভেঙে ফেলল (আমার ধারণা আমার এটি আরও শক্ত করা উচিত :(), তারা ওরাসলের বাড়ির নীচে একটি গোপন দির তৈরি করেছিল, সেখানে একটি ক্রন্টাব ছিল, যা নিজেই কিছু ডিমন চালিয়েছিল যা লক্ষ্য সার্ভারকে প্লাবিত করেছিল।

তদুপরি, হ্যাকাররা আমার সার্ভারে 2 জন নতুন ব্যবহারকারী তৈরি করেছে: অবাহি এবং কর্ডার। তাদের সম্পর্কে আমার কী করা উচিত? আমি গুগল করেছিলাম এবং মনে হচ্ছে একই নামের সফ্টওয়্যারটি বিপজ্জনক নয়, তবে আমি সেই ব্যবহারকারীদের (এবং ওরাকলও) মুছে ফেলেছি।

ফুথেরমোর আমি এখানে সমস্ত কিছু দিয়ে পুরো ওরাকল হোম মুছলাম।

আমার ধারণা আমার সার্ভারটি আরও সুরক্ষিত করা দরকার, কারণ এটি আবার আক্রমণ হতে পারে, সহায়তার জন্য সবাইকে ধন্যবাদ!

কামিল
সূত্র
4
আমি আপনার সার্ভারটি মুছতে এবং আবার শুরু করব, কোনও আপোষের পরে আমি কোনও সার্ভারকে বিশ্বাস করি না। কক্ষপথ থেকে সাইট nuke, এটি নিশ্চিত হওয়ার একমাত্র উপায়।
ইউনিক্স জেনিটার
ইউপ্প আমি এটি করতে যাচ্ছি, প্রথমত কিছু ডেটা ব্যাকআপ (এসএনএন সংগ্রহস্থল, দরকারী স্ক্রিপ্ট)
কামিল
নিশ্চিত করুন যে ডেটাটির এখনও অখণ্ডতা রয়েছে, অনুপ্রবেশকারীদের সোর্স কোড এবং স্ক্রিপ্টগুলি পিছনে দরজা রাখার জন্য এটি পরিবর্তন করা ছিল know অনুপ্রবেশের আগে অবশ্যই আমি সম্প্রতি সন্ধান করা সংস্করণটির সাথে সাম্প্রতিকতম এসএনএন উত্সটি তুলনা করব
দ্য ইউনিক্স জানিটার
0

আপনি যখন আপনার ব্যান্ডউইথের কোটাকে ছাড়িয়ে গিয়েছিলেন তখন একদিনে প্রেরিত সমস্ত প্যাকেট ক্যাপচার করা সম্ভবত সবচেয়ে বোধগম্য নয় - আপনি কীভাবে বিশ্লেষণের জন্য সিস্টেমের ডেটা পাবেন?

বাক্সে আপনার কী অ্যাক্সেস রয়েছে? কোন বন্দর খোলা আছে? আপনি যে পরিষেবাগুলি চলছে সেগুলির লগগুলি পরীক্ষা করেছেন? অ্যাজস্ট্যাটসের মতো কিছু এফটিপি, এইচটিটিপি এবং এসএমটিপি লগগুলিকে সংক্ষিপ্ত করে তুলবে (ধরে নিই যে এই সার্ভারগুলি লগগুলিতে ডেটা রেকর্ড করতে কনফিগার করা আছে)। OTOH mrtg এন্ডপয়েন্ট / পোর্ট দ্বারা নেটওয়ার্কের ব্যবহার রেকর্ড এবং ট্র্যাক করবে।

symcbean
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.