linux伺服器流量

1、如何查看Linux伺服器中，異常流量來自哪個IP

Linux下使用工具結合iptables服務來解決帶寬資源被惡意請求滿的問題，主要通過2個步驟來實現；
1. 使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源，找出耗帶寬的元兇
2. 找出耗帶寬的IP地址或者段，分析是out方向還是in方向，使用iptables規則來進行控制

具體的詳細操作方法如下；
一但出現帶寬被惡意請求，在帶寬被請滿的情況下基本上很難通過網路登入到伺服器上進行操作跟維護，這時我們需要通過阿里雲提供的「連接管理終端」服務來登入系統
一般建議在主機正常的時候直接在伺服器內部安裝好iftop工具，這樣出現惡意請求的時候直接可以使用該工具來進行排查，下面介紹下iftop的2中安裝方法
1.使用yum 安裝iftop工具
使用yum安裝的話比較簡單，只要直接執行 yum install iftop –y命令即可，如果沒問題的話系統就會自動執行安裝，但是有使用yum可能安裝不了，這時就需要使用編譯安裝了
2.編譯安裝iftop工具
(1)下載iftop工具的源碼包；
http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz
(2)CentOS下安裝所需的依賴包
yum install flex byacc libpcap ncursesncurses-devel libpcap-devel
(3 解壓縮下載的iftop文件
tarzxvf iftop-0.17.tar.gz
(4 進入到解壓的的iftop目錄中
cdiftop-0.17
配置並制定安裝目錄為/usr/local/iftop目錄下
(5./configure –prefix=/usr/local/iftop
(6)編譯並安裝
make && make install
安裝完成以後直接使用/usr/local/iftop/sbin/iftop 啟動iftop程序查看流量使用情況，如果想使用iftop的方式直接開啟程序，需要將iftop的程序添加到環境變數中即可
結合使用iptables服務來限制惡意請求的流量；
iftop –i eth1 查看eth1這塊外網網卡的流量使用情況

通過上面這張信息很清楚的看到，121.199這台伺服器一直往192.230.123.101 這個地址發送流量，而且出去產生的流量相當大，幾乎把整個出網帶寬都給耗盡了
查到了惡意請求的原因跟目標主機以後，我們就可以使用iptables服務來對這種惡意行為進行限制了，因為從查看到的數據看主要的流量是從out方向出去的，那就直接在OUT方向設置策略
Iptables -A OUTPUT -d 192.230.123.101 –j REJECT
這里可能還會發現一個情況就是禁用了這個1個IP以後可能這個段的其它IP地址都有可能馬上就接上繼續請求，那就可以針對一個段來進行限制
iptables-A OUTPUT -d 192.230.0.0/16 -j REJECT
策略加上以後可以再使用iftop –i eth1 來查看流量的請求情況；

可以查看到流量已經恢復了正常，之前的惡意請求的地址都已經被防火牆給屏蔽了，效果比較好
另外iftop還有很多的參數可以實現比較多的功能，有時間的話可以研究研究，對排查網路流量攻擊以及掌控流量使用很有幫助的

2、linux 伺服器流量總是超負荷是什麼原因?

基本原因是網路數據傳輸引起的.
如果你可以確定伺服器的正常程序中沒有大數據操作,
需要檢查一下是不是受到了不明攻擊.

3、Linux 用哪個命令統計從上午八點到下午的6點伺服器的總流量

一、查看哪些IP連接本機 netstat -an 二、查看TCP連接數 1)統計專80埠屬連接數 netstat -nat|grep -i "80"|wc -l 2）統計httpd協議連接數 ps -ef|grep httpd|wc -l 3）、統計已連接上的，狀態為「established netstat -na|grep ESTABLISHED|wc -l

4、linux伺服器不定時的網路流量暴增該怎麼解決？

最好啟用防火牆，把一些常見的syn dos攻擊屏蔽掉。如果再有的話就只能抓包看一下是什麼內容了

5、linux如何查看流量

常用兩個來方法自：直接命令查看、安裝個iftop查看；

直接命令查看

watch cat /proc/net/dev

安裝iftop然後再查看

yum  -y install iftop

iftop

######################

安裝epel以此解決找不到iftop

cd /usr/local/src
wget http://mirrors.sohu.com/fedora-epel/6/i386/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm
yum clean all
yum makecache

6、linux伺服器要怎樣針對IP流量限制

不是木馬，是設置問題，下面是流量的控制方法一、Linux流量控制過程分二種：1、隊列控制即QOS,瓶頸處的發送隊列的規則控制，常見的有SFQPRIO2、流量控制即帶寬控制,隊列的排隊整形，一般為TBFHTB二、Linux流量控制演算法分二種：1、無類演算法用於樹葉級無分支的隊列，例如：SFQ2、分類演算法用於多分支的隊列，例如：PRIOTBFHTB三、具體實現：1.在網卡上建立以SFQ演算法的限流#tcqdiscadddeveth0roothandle1:sfqSFQ參數有perturb(重新調整演算法間隔)quantum基本上不需要手工調整:handle1:規定演算法編號..可以不用設置由系統指定..#tcqdiscshdeveth0顯示演算法#tcqddeldeveth0root刪除注:默認eht0支持TOS2.在網卡建立以TBF演算法的限流#tcqdadddeveth1roothandle1:速率256kbit突發傳輸10k最大延遲50ms#tc-sqdshdeveth1統計#tcqddeldeveth1root刪除3.在網卡建立PRIO#tcqdiscadddeveth0roothandle1:prio#此命令立即創建了類:1:1,1:2,1:3(預設三個子類)#tcqdiscadddeveth0parent1:1handle10:sfq#tcqdiscadddeveth0parent1:2handle20:注:此為TBF限速的另一寫法,前文有講解.#tcqdiscadddeveth0parent1:3handle30:sfq4.WEB伺服器的流量控制為5Mbps,SMTP流量控制在3Mbps上.而且二者一共不得超過6Mbps,互相之間允許借用帶寬#tcqdiscadddeveth0roothandle1:#tcclassadddeveth0parent1:0classid1:.這部分按慣例設置了根為1:0,並且綁定了類1:1.也就是說整個帶寬不能超過6Mbps.#tcclassadddeveth0parent1:1classid1:.#tcclassadddeveth0parent1:1classid1:.建立了2個類.注意我們如何根據帶寬來調整weight參數的.兩個類都沒有配置成"bounded",但它們都連接到了類1:1上,而1:1設置了"bounded".所以兩個類的總帶寬不會超過6Mbps.別忘了,同一個CBQ下面的子類的主號碼都必須與CBQ自己的號碼相一致!#tcqdiscadddeveth0parent1:3handle30:sfq#tcqdiscadddeveth0parent1:4handle40:sfq預設情況下,兩個類都有一個FIFO隊列規定.但是我們把它換成SFQ隊列,以保證每個數據流都公平對待.#tcfilteradddeveth0parent1::3#tcfilteradddeveth0parent1::46.過濾器過濾示例#::1在10:節點添加一個過濾規則,優先權1:凡是去往22口(精確匹配)的IP數據包,發送到頻道10:1..#::1在10:節點添加一個過濾規則,優先權1:凡是來自80口(精確匹配)的IP數據包,發送到頻道10:1..#:prio2flowid10:2在eth0上的10:節點添加一個過濾規則,它的優先權是2:凡是上二句未匹配的IP數據包,發送到頻道10:2..#tcfilteradddeveth0parent10:.3.2.1/32flowid10:1去往4.3.2.1的包發送到頻道10:1其它參數同上例#tcfilteradddeveth0parent10:.2.3.4/32flowid10:1來自1.2.3.4的包發到頻道10:1#:prio2flowid10:2凡上二句未匹配的包送往10:2#tcfilteradddeveth0parent10:.3.2.1/:1可連續使用match,匹配來自1.2.3.4的80口的數據包

7、請問我的Linux系統伺服器流出流量超過50M/S是什麼原因

你的伺服器整體下載速度為50M/s 帶寬跑的很高，可能是你的應用或者網站訪問人數都很多，下載量很大，假如一個客戶的下載速度為1m/s ，50個人同時下載就是50M/s

8、怎樣統計linux伺服器裡面各個網站的流量

如果用的是apache，可以考慮裝個 apachetop

9、linux伺服器流出流量過大 是否木馬？

不是木馬，是設置問題，下面是流量的控制方法
一、Linux 流量控制過程分二種：
1、隊列控制 即 QOS, 瓶頸處的發送隊列的規則控制，常見的有 SFQ PRIO
2、流量控制 即帶寬控制 , 隊列的排隊整形， 一般為 TBF HTB
二、Linux 流量控制演算法分二種：
1、無類演算法 用於樹葉級無分支的隊列，例如：SFQ
2、分類演算法 用於多分支的隊列，例如：PRIO TBF HTB
三、具體實現：
1. 在網卡上建立 以SFQ演算法的限流

#tc qdisc add dev eth0 root handle 1: sfq
SFQ 參數有 perturb( 重新調整演算法間隔 ) quantum 基本上不需要手工調整 :
handle 1: 規定演算法編號 .. 可以不用設置由系統指定 ..
#tc qdisc sh dev eth0 顯示演算法
#tc qd del dev eth0 root 刪除 注 : 默認 eht0 支持 TOS
2. 在網卡建立以 TBF演算法的限流
#tc qd add dev eth1 root handle 1: tbf rate 256kbit burst 10000 latency 50ms
速率 256kbit 突發傳輸 10k 最大延遲 50ms
#tc -s qd sh dev eth1 統計
#tc qd del dev eth1 root 刪除
3. 在網卡建立 PRIO
#tc qdisc add dev eth0 root handle 1: prio
# 此命令立即創建了類 : 1:1, 1:2, 1:3 ( 預設三個子類 )
#tc qdisc add dev eth0 parent 1:1 handle 10: sfq
#tc qdisc add dev eth0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
注 : 此為 TBF 限速的另一寫法 , 前文有講解 .
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
4. WEB 伺服器的流量控制為 5Mbps,SMTP 流量控制在 3Mbps 上 . 而且二者一共不得超過 6Mbps, 互相之間允許借用帶寬
#tc qdisc add dev eth0 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8
#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 6Mbit weight
0.6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
這部分按慣例設置了根為 1:0, 並且綁定了類 1:1. 也就是說整個帶寬不能超過 6Mbps.
#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 5Mbit weight
0.5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 3Mbit weight
0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
建立了 2 個類 . 注意我們如何根據帶寬來調整 weight 參數的 . 兩個類都沒有配置成"bounded", 但它們都連
接到了類 1:1 上 , 而 1:1 設置了"bounded". 所以兩個類的總帶寬不會超過 6Mbps. 別忘了 , 同一個 CBQ 下面的子
類的主號碼都必須與 CBQ 自己的號碼相一致 !
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
#tc qdisc add dev eth0 parent 1:4 handle 40: sfq
預設情況下 , 兩個類都有一個 FIFO 隊列規定 . 但是我們把它換成 SFQ 隊列 , 以保證每個數據流都公平對待 .
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 80 0xffff flowid
1:3
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 25 0xffff flowid
1:4
6. 過濾器過濾示例
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1
在 10: 節點添加一個過濾規則 , 優先權 1: 凡是去往 22 口 ( 精確匹配 ) 的 IP 數據包 , 發送到頻道 10:1..
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1
在 10: 節點添加一個過濾規則 , 優先權 1: 凡是來自 80 口 ( 精確匹配 ) 的 IP 數據包 , 發送到頻道 10:1..
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
在 eth0 上的 10: 節點添加一個過濾規則 , 它的優先權是 2: 凡是上二句未匹配的 IP 數據包 , 發送到頻道 10:2..
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip dst 4.3.2.1/32 flowid 10:1
去往 4.3.2.1 的包發送到頻道 10:1 其它參數同上例
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 1.2.3.4/32 flowid 10:1
來自 1.2.3.4 的包發到頻道 10:1
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
凡上二句未匹配的包送往 10:2
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4.3.2.1/32 match
ip sport 80 0xffff flowid 10:1
可連續使用 match, 匹配來自 1.2.3.4 的 80 口的數據包

10、怎麼查看linux伺服器的流量監控

1、從阿抄里雲的控制台進入獲取默認的伺服器賬號和密碼（阿里雲也會主動發送給你賬戶密碼），好了，然後伺服器的登錄。 2、windows系列的，使用開始運行->mstsc進入主機控制面板 linux系列的，下個SSH客戶端，可以遠程登陸linux的終端。如果嫌麻煩...