外网带宽占用高排查
由于外网带宽使用率会影响ssh连接,当外网带宽占用过高时,ssh登录服务器可能会出现慢、卡等情况,建议通过管理页面“登录”按钮登录主机进行确认
登录主机后,执行 yum install iftop -y
如果是Ubuntu系统,请执行 apt-get install iftop -y
安装iftop工具,iftop工具为Linux下监控服务器流量的小工具
安装完毕后,执行 iftop
<ignore_js_op>
Iftop 会展示出哪些ip消耗了流量,我们在通过观察iftop中出流量方向的ip
执行 lsof -i | grep ip
来查看连接该ip的进程
此示例截图中我们看到,此服务器外网带宽主要又 ssh 进程消耗.
<ignore_js_op>
我们在实际排查过程中,重点关注消耗带宽的进程是否为正常业务进程
如果是正常业务进程,我们则需要针对业务行为以及业务日志进行分析;
如果非正常业务进程,我们则需要提高安全意识,极有可能是服务器出现安全漏洞被入侵植入木马导致,
注:建议重点核查目的端ip归属地(可以通过 ip138.com 进行查看),如果发现目的端ip归属地为国外,则安全隐患更大,请务必重点关注!
Windows服务器
在外网带宽占用高时,我们同样建议使用控制台网页来登录主机
Windows我们可以使用系统自带资源管理器查看带宽使用情况。
打开任务管理器
或者执行 开始—运行—taskmgr
<ignore_js_op>
同理,根据消耗带宽的进程来进行判断。
如果是正常业务进程,则需要针对分析
如果非正常业务进程 则同样需要提高安全意识,是否被入侵导致。
