nicht angemeldet
TS
dedlfix
TS
Der Martin
TS
Der Martin
TS
TS
Der Martin
TS
TS
Der Martin
Der Martin
TS
Tabellenkalk
TS
Hallo und guten Tag,
ich habe da ein Verständnisproblem mit /proc/net/dev auf meinem Debian-7-Server
Inter-| Receive | Transmit
face |bytes packets errs drop fifo frame compressed multicast|bytes packets errs drop fifo colls carrier compressed
lo: 538471269 5624416 0 0 0 0 0 0 538471269 5624416 0 0 0 0 0 0
eth1: 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
eth0: 963204783326 5040429482 0 10345912 0 0 0 1746789178 3120417271773 2203167750 0 0 0 0 0 0
(Sorry für die Darstellung. Warum die Zeilen hier nicht breit angezeigt werden, weiß ich nicht.)
Wie kann es sein, dass bei eth0 auf der Transmit-Seite unter "bytes" ein kleinerer Wert steht, als bei "packets"? Das Ist das eventuell vertauscht?
Ich versuche, meinen Traffic in den Griff zu bekommen.
Grüße
TS
dedlfix
Tach!
Wie kann es sein, dass bei eth0 auf der Transmit-Seite unter "bytes" ein kleinerer Wert steht, als bei "packets"? Das Ist das eventuell vertauscht?
Ja, die Zuordnung der Werte zu den Spalten, deinerseits.
dedlfix.
Hallo Dedlfix,
Wie kann es sein, dass bei eth0 auf der Transmit-Seite unter "bytes" ein kleinerer Wert steht, als bei "packets"? Das Ist das eventuell vertauscht?
Ja, die Zuordnung der Werte zu den Spalten, deinerseits.
Schluck stimmt :-O
Das, was ich für Transmit gehalten hatte, war Multicast vom Receive. Dann habe ich tatsächich inzwischen 8.8 GB Outbound-Traffic am Tag. Da muss ich jetzt dringend mal fetstellen, woher der stammt. Es ist ja kaum 'was drauf auf dem server..., bis auf ca. 150 geparkte Domains und mein Mailserver.
Wie fang ich da jetzt am besten an herauszufinden, wer (also welche Applipationen und welche Domains) den Traffic verursacht?
Grüße
TS
Hallo,
Dann habe ich tatsächich inzwischen 8.8 GB Outbound-Traffic am Tag. Da muss ich jetzt dringend mal fetstellen, woher der stammt. Es ist ja kaum 'was drauf auf dem server..., bis auf ca. 150 geparkte Domains und mein Mailserver.
was meinst du mit geparkte Domains? Werden die von einem Webserver bedient?
Wie fang ich da jetzt am besten an herauszufinden, wer (also welche Applipationen und welche Domains) den Traffic verursacht?
Mein erster Instinkt sagt: Schau in die Logfiles der jeweiligen Server. Und dann in die Logfiles von anderen Services, die von sich aus Daten hin- und herschieben. Vielleicht irgendein Remote-Backup oder so, wir haben ja keine Ahnung, was bei dir so alles läuft.
Vermutlich kann man mit netstat auch einiges rauskriegen, allerdings kenne ich mich mit diesem Werkzeug praktisch gar nicht aus, daher also nur eine vage Idee.
So long,
Martin
Hallo Martin,
Mein erster Instinkt sagt: Schau in die Logfiles der jeweiligen Server. Und dann in die Logfiles von anderen Services, die von sich aus Daten hin- und herschieben. Vielleicht irgendein Remote-Backup oder so, wir haben ja keine Ahnung, was bei dir so alles läuft.
Es laufen:
Und "Ingrid" flüsterte mir eben ein, mal als erstes iptraf zu installieren. Und siehe da: da läuft eine Menge IGMP + UDP auf Multicast-Adressen. Ich habe aber keinerlei Streaming-Dienste o. ä. eingerichtet.
Das fühlt sich jetzt "gehackt" an. Normaler Traffic läuft fast gar nicht.
Muss ich jetzt mal die Prozesstabelle durchforsten, wer denn da schluckt.
Was würde denn passieren, wenn ich Multicast-Antworten mal per IP-Tables unterbinden würde, also am besten gleich alle ausgehenden Pakete ab 224.x.x.x
Würde ich mich da selber aussperren?
Grüße
TS
Hallo,
wir haben ja keine Ahnung, was bei dir so alles läuft.
Es laufen:
- Webswerver Apache
- Mailserver Postfix
- Datenbankserver MySL
naja, das sind mal die bekannten Server-Dienste. Aber meist gibt es ja noch eine Reihe weiterer Dienste, die eine Netzwerk-Kommunikation führen wollen - und wenn's was harmloses ist wie NTP. Natürlich verursacht ein NTP-Client keine auffälligen Traffic-Mengen, war nur ein willkürliches Beispiel, das mir zufällig gerade einfiel.
Und "Ingrid" flüsterte mir eben ein, mal als erstes iptraf zu installieren. Und siehe da: da läuft eine Menge IGMP + UDP auf Multicast-Adressen. Ich habe aber keinerlei Streaming-Dienste o. ä. eingerichtet.
Weird. Das würde mich auch unruhig machen.
Muss ich jetzt mal die Prozesstabelle durchforsten, wer denn da schluckt.
Schluckt? Ich denke, dein Sorgenkind ist Outbound Traffic, also Senden.
Die Parallele zur Anatomie verkneif ich mir jetzt ... ;-)
Was würde denn passieren, wenn ich Multicast-Antworten mal per IP-Tables unterbinden würde, also am besten gleich alle ausgehenden Pakete ab 224.x.x.x
Würde ich mich da selber aussperren?
Keine Ahnung. Aber ich bin sehr gespannt, was bei der Sache rauskommt.
Viel Erfolg,
Martin
Hallo Martin,
Es laufen:
- Webswerver Apache
- Mailserver Postfix
- Datenbankserver MySL
Ok, die sind auch noch aktiv...
Was würde denn passieren, wenn ich Multicast-Antworten mal per IP-Tables unterbinden würde, also am besten gleich alle ausgehenden Pakete ab 224.x.x.x
Würde ich mich da selber aussperren?Keine Ahnung. Aber ich bin sehr gespannt, was bei der Sache rauskommt.
Ich auch!
Habe ich eben versucht mittels
iptables -A OUTPUT -d 224.0.0.0/3 -j DROP
Aber das ändert erstmal nix. Iptraf zeigt immer noch den ausgehenden Traffic an. Verglichen mit meinem Linux-Lappi, auf dem ich gerade selber einen Video-Stream gucke: da läuft fast nix, nur gelegentlich das Nachladen eines UDP-Paketes.
Grüße
TS
Hallo Martin,
Es laufen:
- Webswerver Apache
- Mailserver Postfix
- Datenbankserver MySL
- ntp
- sshd
Ok, die sind auch noch aktiv...
nmap behauptet:
Starting Nmap 6.47 ( http://nmap.org ) at 2016-08-22 16:21 CEST
Nmap scan report for freifunk-oberharz.de 109.235.62.184
Host is up (0.038s latency).
rDNS record for 109.235.62.184: bitworks-4309-1.vautronserver.de
Not shown: 986 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
49152/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 4.06 seconds
Hallo,
Es laufen:
- Webswerver Apache
- Mailserver Postfix
- Datenbankserver MySL
- ntp
- sshd
Ok, die sind auch noch aktiv...
nmap behauptet:
Starting Nmap 6.47 ( http://nmap.org ) at 2016-08-22 16:21 CEST Nmap scan report for freifunk-oberharz.de 109.235.62.184 Host is up (0.038s latency). rDNS record for 109.235.62.184: bitworks-4309-1.vautronserver.de Not shown: 986 closed ports PORT STATE SERVICE
Nmap done: 1 IP address (1 host up) scanned in 4.06 seconds
Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.
Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?
Grüße
TS
Hi,
PORT STATE SERVICE
- 22/tcp open ssh
- 80/tcp open http
- 110/tcp open pop3 ## den könnte ich noch schließen...
- 135/tcp filtered msrpc
- 139/tcp filtered netbios-ssn
- 143/tcp open imap
- 443/tcp open https
- 445/tcp filtered microsoft-ds
- 465/tcp open smtps
- 587/tcp open submission
- 993/tcp open imaps
- 995/tcp open pop3s
- 3306/tcp open mysql
- 49152/tcp filtered unknown
mich überraschen hier mehrere Dinge. Zum Beispiel, dass Microsoft-imitierende Dienste (RPC an 135, Samba an 139, Microsoft Directory Services an 445) zumindest auch von draußen ansprechbar sind, auch wenn sie vielleicht nicht antworten. Und auch, dass der SQL-Server von außen erreichbar ist. Ist das Absicht? Und Port 49152 verunsichert mich auch ein bisschen; meine Schnell-Recherche lässt mich vermuten, dass der was mit UPNP zu tun haben könnte.
Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.
Doch, da läuft was, "jemand" lauscht da zumindest. Sonst wäre der Port nicht offen, d.h. ansprechbar.
Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?
Wie gesagt, 49152 stößt mir irgendwie sauer auf, weil ich da keine eindeutige, klare Auskunft finde.
So long,
Martin
Hallo Martin,
PORT STATE SERVICE
- 22/tcp open ssh
- 80/tcp open http
- 110/tcp open pop3 ## den könnte ich noch schließen...
- 135/tcp filtered msrpc
- 139/tcp filtered netbios-ssn
- 143/tcp open imap
- 443/tcp open https
- 445/tcp filtered microsoft-ds
- 465/tcp open smtps
- 587/tcp open submission
- 993/tcp open imaps
- 995/tcp open pop3s
- 3306/tcp open mysql
- 49152/tcp filtered unknown
mich überraschen hier mehrere Dinge. Zum Beispiel, dass Microsoft-imitierende Dienste (RPC an 135, Samba an 139, Microsoft Directory Services an 445) zumindest auch von draußen ansprechbar sind, auch wenn sie vielleicht nicht antworten. Und auch, dass der SQL-Server von außen erreichbar ist. Ist das Absicht? Und Port 49152 verunsichert mich auch ein bisschen; meine Schnell-Recherche lässt mich vermuten, dass der was mit UPNP zu tun haben könnte.
Das ist auch neu. die "filtered" hatte ich vor ca. 2 Monaten noch nicht in meiner Liste. MySQL ist von außen per SSL erreichbar. Das ist Absicht. Es wird auch ca. 180x pro Woche versucht, darauf unberechtigt (6 Fehlversuche) zuzugreifen.
Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.
Doch, da läuft was, "jemand" lauscht da zumindest. Sonst wäre der Port nicht offen, d.h. ansprechbar.
Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?
Wie gesagt, 49152 stößt mir irgendwie sauer auf, weil ich da keine eindeutige, klare Auskunft finde.
Der stößt mir allerdings auch auf. Das ist normalerweise Windows DCOM. Was das nun auf einem Linux-Host zu suchen hat, ist mir auch noch nicht klar.
Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.
Da der Host ohnehin in ein paar Tagen auf eine neue Maschine umziehen soll, wäre es sicherlich gut, den Schmuddelkram nicht mitzunehmen. Das muss auf jeden Fall vorher noch geklärt werden.
Grüße
TS
Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.
Haben die schon nach einem Passwort gefragt um für Dich ~> sudo lsof | less auszuführen?
Hallo und guten Morgen,
Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.
Haben die schon nach einem Passwort gefragt um für Dich
~> sudo lsof | lessauszuführen?
Wir haben allen möglichen Quatsch ausprobiert. Es ist da nix zu finden, was eine Erklärung liefern könnte.
Ich stelle mir jetzt vor, dass da VLAN im Einsatz ist und der Traffic zu Routing gehört. Aber ein VLAN-Treiber für die Schnittstelle ist auch nicht zu entdecken...
Alles äußerst suspekt.
Grüße
TS
Hi,
Wir haben allen möglichen Quatsch ausprobiert. Es ist da nix zu finden, was eine Erklärung liefern könnte.
das kann doch nicht wahr sein ...
Ich stelle mir jetzt vor, dass da VLAN im Einsatz ist und der Traffic zu Routing gehört.
Wo liegt der Zusammenhang zwischen WLAN und Routing? Oder anders gefragt, inwiefern unterscheidet sich WLAN von verkabeltem LAN? Klar, durch die Realisierung der eigentlichen Übertragung. Aber doch nicht aus der Sicht der Anwendung(en).
Aber ein VLAN-Treiber für die Schnittstelle ist auch nicht zu entdecken...
In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.
Alles äußerst suspekt.
Ist denn das relativ hohe Transfervolumen noch da?
Schönes Wochenende,
Martin
In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.
Was hat VLAN mit WLAN zutun?
Hallo,
In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.
Was hat VLAN mit WLAN zutun?
weiß ich nicht - vielleicht dass ein V und ein W sich sehr ähnlich sehen?
Ver lesen kann, ist im Worteil. Var schon immer so. :-(
So long,
Martin
Hallo und guten Tag,
In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.
Was hat VLAN mit WLAN zutun?
weiß ich nicht - vielleicht dass ein V und ein W sich sehr ähnlich sehen?
Ver lesen kann, ist im Worteil. Var schon immer so. :-(
Darum sind die Buchstaben ja auch wariabel :-P
Grüße
TS
Hallo,
Und "Ingrid" flüsterte mir eben ein,
Das war nicht Ingrid, sondert Edith!
Gruß
Kalk
Ich würde mal iftop und iptraf-ng aufrufen.
Hatte ein paar Tage auf einen ruhenden Server zwischen 100 und 300 GB eingenhenden Traffic. Iptraf hat mir dann die Verursacher angezeigt, war Broadcast Traffic aus dem Netzwerk des Rechenzentrums.
Hallo und guten Morgen Kay,
Ich würde mal iftop und iptraf-ng aufrufen.
Hatte ein paar Tage auf einen ruhenden Server zwischen 100 und 300 GB eingenhenden Traffic. Iptraf hat mir dann die Verursacher angezeigt, war Broadcast Traffic aus dem Netzwerk des Rechenzentrums.
Ja, das könnte es hier auch sein.
Der Service hat mir geantwortet, dass das normal wäre und mein Gesamt-Traffik erst bei 5,4GB im Monat liegen würde...
Somit kann ich aber nun über die eigene Schnittstelle keinen Traffic mehr feststellen, da die den ganzen Router-Verwaltungs-Traffic ja mitzählt. An die Prozesse komme ich auch nicht ran, obwohl es ein Root-Server ist.
Na, dann wird es wohl die NSA-Abzweigung sein :-O
Grüße
TS