форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вырос исходящий трафик"
Сообщение от zkrvova (ok) on 24-Ноя-05, 18:31  (MSK)
В последнее время вырос исходящий трафик. Т.е. если раньше он был примерно меньше 10% от входящего, то щас где-то больше 25%. На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что имеет разрешение на доступ к внешнему интерфейсу. Apache - в основном используется для внутренних целей, сайт перенесён, с мира к нему очень редко обращаются. Подскажите пожалуйста, как отследить куда идёт исходящий трафик. Исходящих писем очень мало. Вроде некому ничего слать наружу, только named может что-то отвечать, но не так же много. Заранее благодарен.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Вырос исходящий трафик"
Сообщение от vvvua (ok) on 24-Ноя-05, 18:35  (MSK)
1. Ставим, если не стоит, trafshow (http://soft.risp.ru/trafshow/index.shtml) 2. Смотрим исходящий интерфейс trafshow -n -i fxp0 3. Если не нашли, что какнал грузит, то добавляем фильтов в trafshow >В последнее время вырос исходящий трафик. Т.е. если раньше он был примерно >меньше 10% от входящего, то щас где-то больше 25%. >На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что имеет >разрешение на доступ к внешнему интерфейсу. Apache - в основном используется >для внутренних целей, сайт перенесён, с мира к нему очень редко >обращаются. > >Подскажите пожалуйста, как отследить куда идёт исходящий трафик. Исходящих писем очень мало. >Вроде некому ничего слать наружу, только named может что-то отвечать, но >не так же много. > >Заранее благодарен.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Вырос исходящий трафик"
	Сообщение от zkrvova (ok) on 25-Ноя-05, 13:24  (MSK)
	А trafshow может вести лог? Ато неудобно когда надо налету всё смотреть?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Вырос исходящий трафик"
	Сообщение от vvvua (ok) on 25-Ноя-05, 13:56  (MSK)
	nea >А trafshow может вести лог? Ато неудобно когда надо налету всё смотреть? >
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вырос исходящий трафик"
Сообщение от Skif (ok) on 25-Ноя-05, 13:38  (MSK)
sockstat -4 Может забыли про какой-то сервис? Бывает, сам прокалывался не один раз. nload - покажет загрузку интерфейса в риалтайме. какую нибудь считалку, которая будет показывать еще и какие порты при соединении юзались с каких ip ng_ipacct ng_netflow и т.д.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Вырос исходящий трафик"
	Сообщение от zkrvova (ok) on 25-Ноя-05, 14:47  (MSK)
	>sockstat -4 >Может забыли про какой-то сервис? Бывает, сам прокалывался не один раз. >nload - покажет загрузку интерфейса в риалтайме. >какую нибудь считалку, которая будет показывать еще и какие порты при соединении >юзались с каких ip >ng_ipacct ng_netflow и т.д. Чегото ненайду ng_ipacct ng_netflow чтоб для линукса описание, а Вы их настраивали? Можете помочь?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Вырос исходящий трафик"
	Сообщение от Lisa (??) on 25-Ноя-05, 14:52  (MSK)
	>>sockstat -4 >>Может забыли про какой-то сервис? Бывает, сам прокалывался не один раз. >>nload - покажет загрузку интерфейса в риалтайме. >>какую нибудь считалку, которая будет показывать еще и какие порты при соединении >>юзались с каких ip >>ng_ipacct ng_netflow и т.д. > >Чегото ненайду ng_ipacct ng_netflow чтоб для линукса описание, а Вы их настраивали? >Можете помочь? посмотрите какие порты открыты: netstat -na|grep LISTEN 21, например - анонимный фтп закрыт????
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Вырос исходящий трафик"
	Сообщение от zkrvova (ok) on 25-Ноя-05, 15:14  (MSK)
	>посмотрите какие порты открыты: >netstat -na|grep LISTEN > >21, например - анонимный фтп закрыт???? ftp вообще неподнят Пожалуйста: tcp        0      0 127.0.0.1:1024          0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:1025            0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:3333            0.0.0.0:*               LISTEN tcp        0      0 10.1.10.1:139           0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN tcp        0      0 10.1.10.1:53            0.0.0.0:*               LISTEN tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN tcp        0      0 10.1.10.1:22            0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN tcp        0      0 127.0.0.1:3000          0.0.0.0:*               LISTEN tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN tcp        0      0 127.0.0.1:3001          0.0.0.0:*               LISTEN tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN tcp        0      0 127.0.0.1:3003          0.0.0.0:*               LISTEN unix  2      [ ACC ]     STREAM     LISTENING     2549   /dev/gpmctl unix  2      [ ACC ]     STREAM     LISTENING     2651   /tmp/.font-unix/fs7100 unix  2      [ ACC ]     STREAM     LISTENING     2252   /var/drweb/run/.daemon
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Вырос исходящий трафик"
	Сообщение от Lisa (ok) on 25-Ноя-05, 15:55  (MSK)
	>>посмотрите какие порты открыты: >>netstat -na|grep LISTEN >> >>21, например - анонимный фтп закрыт???? > >ftp вообще неподнят > 1024, 1025, 3333, 139, 110, 111, 80, 53, 22, 3128, 3000, 953, 25, 3001, 443, 3003 - это список открытых портов. trafshow -n -i fxp0, обращая внимание на список портов. логи приложений посмотреть. >На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что >имеет разрешение на доступ к внешнему интерфейсу. 3128 - А как насчет прокси-сервера. кто к нему имеет доступ? 25 - почта. кому разрешена отправка почты?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Вырос исходящий трафик"
	Сообщение от zkrvova (ok) on 25-Ноя-05, 16:48  (MSK)
	>>>посмотрите какие порты открыты: >>>netstat -na|grep LISTEN >>> >>>21, например - анонимный фтп закрыт???? >> >>ftp вообще неподнят >> >1024, 1025, 3333, 139, 110, 111, 80, 53, 22, 3128, 3000, 953, >25, 3001, 443, 3003 - это список открытых портов. Это я знаю, правда немогу понять кому некоторые порты принадлежат. > >trafshow -n -i fxp0, обращая внимание на список портов. >логи приложений посмотреть. > >>На сервере подняты: sendmail, named, drweb, ntpd, httpd. Вот всё что >имеет разрешение на доступ к внешнему интерфейсу. > >3128 - А как насчет прокси-сервера. кто к нему имеет доступ? только внутренняя сеть. Тут всё нормально, его логи я смотрю по нескольку раз на день. >25 - почта. кому разрешена отправка почты? Только внутренней сети.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Вырос исходящий трафик"
	Сообщение от Skif (ok) on 25-Ноя-05, 15:21  (MSK)
	Это под фрю, под линух... ну netflow просто посмотри, еще что-то подоюное. Просто я 90% времени общаюсь с фряхами, очень редко с линуксом. По этому всех доступных софйтин для него не знаю. Почему ng_ неработают - нет реализации netgraph для линукс, это чисто BSD-шная фича
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Вырос исходящий трафик"
	Сообщение от vvvua (ok) on 25-Ноя-05, 16:04  (MSK)
	На основе ipcad можно >Это под фрю, под линух... ну netflow просто посмотри, еще что-то подоюное. >Просто я 90% времени общаюсь с фряхами, очень редко с линуксом. >По этому всех доступных софйтин для него не знаю. >Почему ng_ неработают - нет реализации netgraph для линукс, это чисто BSD-шная >фича
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Вырос исходящий трафик"
	Сообщение от zkrvova (ok) on 25-Ноя-05, 16:50  (MSK)
	>На основе ipcad можно >>Это под фрю, под линух... ну netflow просто посмотри, еще что-то подоюное. >>Просто я 90% времени общаюсь с фряхами, очень редко с линуксом. >>По этому всех доступных софйтин для него не знаю. >>Почему ng_ неработают - нет реализации netgraph для линукс, это чисто BSD-шная >>фича ipcad это и под Linux? Спасибо, посмотрю.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]